本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS Resource Groups
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Resource Groups 的AWS托管策略**
+ [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy)
+ [ ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources)
+ [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title)
## AWS 托管策略: ResourceGroupsServiceRolePolicy
您不能将 `ResourceGroupsServiceRolePolicy` 附加到自己的 IAM 实体。此附加到服务相关角色的策略允许 Resource Groups 代表您执行操作。有关更多信息,请参阅 [为 Resource Groups 使用服务相关角色](security_iam_service-linked-roles.md)。
此策略授予 Resource Groups 检索有关您的资源组中的资源以及这些资源所属的任何 CloudFormation 堆栈的信息所需的权限。这允许 Resource Groups 为群组生命周期事件功能生成 CloudWatch 事件。
要查看此 AWS 托管策略的最新版本,请参阅 IAM 控制台`[ResourceGroupsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsServiceRolePolicy)`中的。
## AWS 托管策略: ResourceGroupsandTagEditorFullAccess
将策略附加到委托人实体时,即向该实体授予策略中定义的权限。 AWS 与必须自己编写策略相比,托管策略使您可以更轻松地为用户、组和角色分配适当的权限。
此策略授予对 Resource Groups 和标签编辑器功能的完全访问所需的权限。
要查看此 AWS 托管策略的最新版本,请参阅 IAM 控制台`[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)`中的。
有关此策略的更多信息,请参阅[ ResourceGroupsandTagEditorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorFullAccess.html)《*AWS 托管策略参考指南》*。
## AWS 托管策略: ResourceGroupsandTagEditorReadOnlyAccess
将策略附加到委托人实体时,即向该实体授予策略中定义的权限。 AWS 与必须自己编写策略相比,托管策略使您可以更轻松地为用户、组和角色分配适当的权限。
此策略授予对 Resource Groups 和标签编辑器功能的只读访问所需的权限。
要查看此 AWS 托管策略的最新版本,请参阅 IAM 控制台`[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)`中的。
有关此策略的更多信息,请参阅[ ResourceGroupsandTagEditorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorReadOnlyAccess.html)《*AWS 托管策略参考指南》*。
## AWS 托管策略: ResourceGroupsTaggingAPITagUntagSupportedResources
将策略附加到委托人实体时,即向该实体授予策略中定义的权限。 AWS 与必须自己编写策略相比,托管策略使您可以更轻松地为用户、组和角色分配适当的权限。
此策略授予标记和取消标记标记 API 支持的所有资源类型所需的权限`AWS::ApiGateway`,**但、`AWS::CloudFormation``AWS::CodeBuild`、和除外**。 AWS Resource Groups `AWS::ServiceCatalog`标记和取消标记这些被排除的资源类型需要额外的服务特定权限,这些权限允许除标记和取消标记之外的其他操作。以下列表描述了标记和取消标记策略中排除的资源类型需要哪些权限:
+ `AWS::ApiGateway`资源类型需要 API Gateway 资源的`apigateway:Patch`权限,标签子资源需要`apigateway:Put`、`apigateway:Get`、`apigateway:Delete`权限。
+ `AWS::CloudFormation`资源类型需要`cloudformation:UpdateStack`和`cloudformation:UpdateStackSet`权限。
+ `AWS::CodeBuild`资源类型需要`codebuild:UpdateProject`权限。
+ `AWS::ServiceCatalog`资源类型需要`servicecatalog:TagResource`、`servicecatalog:UntagResource``servicecatalog:UpdatePortfolio`、和`servicecatalog:UpdateProduct`权限。
此策略还授予通过资源组标记 API 检索所有已标记或以前标记的资源所需的权限。
要查看此 AWS 托管策略的最新版本,请参阅 IAM 控制台`[ ResourceGroupsTaggingAPITagUntagSupportedResources](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsTaggingAPITagUntagSupportedResources)`中的。
有关此策略的更多信息,请参阅[ ResourceGroupsTaggingAPITagUntagSupportedResources](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsTaggingAPITagUntagSupportedResources.html)《*AWS 托管策略参考指南》*。
## Resource Groups 对 AWS 托管策略的更新
查看自该服务开始跟踪资源组(Resource Groups) AWS 托管策略变更以来这些更新的详细信息。有关此页面更改的自动提示,请订阅 [Resource Groups 文档历史记录](doc-history.md)页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 更新后的政策 — [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | Resource Groups 更新了此政策,增加了八项新服务的权限,包括亚马逊应用程序恢复控制器 (ARC) 和亚马逊 VPC Lattice。策略中添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/ARG/latest/userguide/security_iam_awsmanpol.html) | 2024 年 12 月 20 日 |
| 新政策 — [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | Resource Groups 添加了一项新策略,以提供标记和取消标记标记 API 支持的所有资源类型所需的权限。 AWS Resource Groups | 2024 年 10 月 11 日 |
| 政策更新 — [ResourceGroupsandTagEditorFullAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorFullAccess.title) | Resource Groups 更新了一项策略,使其包含了其他 AWS CloudFormation 权限。 | 2023 年 8 月 10 日 |
| 政策更新 — [ResourceGroupsandTagEditorReadOnlyAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorReadOnlyAccess.title) | Resource Groups 更新了一项策略,使其包含了其他 AWS CloudFormation 权限。 | 2023 年 8 月 10 日 |
| 新政策 — [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy.title) | Resource Groups 添加一项新策略来支持其服务关联角色。 | 2022 年 11 月 17 日 |
| Resource Groups 开始跟踪更改 | Resource Groups 开始跟踪其 AWS 托管策略的更改。 | 2022 年 11 月 17 日 |