本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 入門 AWS Resource Groups
在 中 AWS,*資源*是您可以使用的實體。範例包括 Amazon EC2 執行個體、Amazon S3 儲存貯體或 Amazon Route 53 託管區域。如果您使用多個資源,您可能會發現將它們作為群組管理,而不是為每個任務從一個 AWS 服務移至另一個服務很有用。
本節說明如何開始使用 AWS Resource Groups。首先,在標籤編輯器中標記 AWS 資源來組織資源。然後在資源群組中建置查詢,其中包含您在群組中想要的資源類型,以及您已套用至資源的標籤。
在資源群組中建立資源群組之後,請使用自動化等 AWS Systems Manager 工具來簡化資源群組的管理任務。
如需開始使用 AWS Systems Manager 功能和工具的詳細資訊,請參閱[https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html](https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html)。
**Topics**
+ [使用 的先決條件 AWS Resource Groups](gettingstarted-prereqs.md)
+ [進一步了解 AWS Resource Groups 授權和存取控制](rg-auth-access.md)
# 使用 的先決條件 AWS Resource Groups
開始使用資源群組之前,請確定您的作用中 AWS 帳戶具有現有資源和適當的權限,可對資源加上標籤和建立群組。
**Topics**
+ [註冊 AWS](#gettingstarted-prereqs-signup)
+ [建立 資源](#gettingstarted-prereqs-create)
+ [設定許可](gettingstarted-prereqs-permissions.md)
## 註冊 AWS
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
## 建立 資源
您可以建立空的資源群組,但在群組中有資源之前,將無法對資源群組成員執行任何任務。如需支援資源類型的詳細資訊,請參閱[您可以搭配 AWS Resource Groups 和 標籤編輯器使用的資源類型](supported-resources.md)。
# 設定許可
為了完整利用資源群組和標籤編輯器,您可能需要額外的許可,來為資源加上標籤或查看資源的標籤索引鍵和值。這些許可分為以下類別:
+ 個別服務的許可,使得您可以為來自那些服務的資源加上標籤,並將它們包含在資源群組中。
+ 使用標籤編輯器主控台所需的許可
+ 使用 AWS Resource Groups 主控台和 API 所需的許可。
如果您是管理員,您可以透過 AWS Identity and Access Management (IAM) 服務建立政策,為使用者提供許可。您首先建立委託人,例如 IAM 角色或使用者,或使用類似 服務將外部身分與您的 AWS 環境建立關聯 AWS IAM Identity Center。然後,您可以使用使用者所需的許可來套用政策。如需建立和連接 IAM 政策的資訊,請參閱[使用政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)。
## 個別服務的許可
**重要**
本節說明如果您想要將來自其他服務主控台和 API 的資源加上標籤,以及將這些資源新增到資源群組時所需的許可。
如[資源及其群組類型](resource-groups.md#resource-groups-intro)中所述,每個資源群組代表共用一或多個標籤索引鍵或值之指定類型的資源集合。若要將標籤新增到資源,您需要資源所屬服務所需的許可。例如,若要標記 Amazon EC2 執行個體,您的 必須擁有該服務 API 中標記動作的許可,例如 [Amazon EC2 使用者指南](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI)中列出的標記動作。
為了完整利用資源群組功能,您需要其他許可,以允許您存取服務的主控台並與該處的資源互動。如需 Amazon EC2 這類政策的範例,請參閱《[Amazon EC2 使用者指南》中的在 Amazon EC2 主控台中運作的範例政策](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html)。 *Amazon EC2 *
## 資源群組和標籤編輯器的必要許可
若要使用資源群組和標籤編輯器,必須將下列許可新增至 IAM 中的使用者政策陳述式。您可以新增由 維護並保持up-to-date的 AWS任一受管政策 AWS,也可以建立和維護自己的自訂政策。
### 針對資源群組和標籤編輯器許可使用 AWS 受管政策
AWS Resource Groups 和 標籤編輯器支援下列 AWS 受管政策,您可以使用這些政策為您的使用者提供一組預先定義的許可。您可以將這些受管政策連接到任何使用者、角色或群組,就像您建立的任何其他政策一樣。
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
此政策會授予連接的 IAM 角色或使用者許可,以呼叫資源群組和標籤編輯器的唯讀操作。若要讀取資源的標籤,您還必須透過個別的政策擁有該資源的許可 (請參閱下列重要備註)。
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
此政策授予連接的 IAM 角色或使用者許可,以呼叫任何資源群組操作和標籤編輯器中的讀取和寫入標籤操作。若要讀取或寫入資源的標籤,您還必須透過個別政策取得該資源的許可 (請參閱下列重要備註)。
**重要**
先前兩個政策會授予呼叫資源群組和標籤編輯器操作並使用那些主控台的許可。對於資源群組操作,這些政策已足夠,並授予使用資源群組主控台中任何資源所需的所有許可。
不過,對於標記操作和標籤編輯器主控台,許可更為精細。您必須不僅擁有叫用 操作的許可,還擁有您嘗試存取其標籤之特定資源的適當許可。若要授予該標籤的存取權,您還必須連接下列其中一個政策:
AWS受管政策 [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) 會為每個服務的資源授予唯讀操作的許可。當新 AWS 服務可用時, AWS 會自動將此政策保持在最新狀態。
許多 服務提供服務特定的唯讀 AWS受管政策,您可用來限制只能存取該服務提供的資源。例如,Amazon EC2 提供 [AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)。
您可以建立自己的政策,僅針對您希望使用者存取的少數服務和資源,授予對非常特定唯讀操作的存取權。此政策使用「允許清單」策略或拒絕清單策略。
允許清單策略會利用預設拒絕存取的事實,直到您在政策中***明確允許***為止。因此,您可以使用類似下列範例的政策:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
或者,您可以使用「拒絕清單」策略,允許存取您明確封鎖的資源以外的所有資源。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### 手動新增資源群組和標籤編輯器許可
+ `resource-groups:*` (此許可允許所有資源群組動作。 如果您改為限制使用者可用的動作,您可以將星號取代為[特定資源群組動作](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html),或以逗號分隔的動作清單)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**注意**
當您使用標籤索引鍵或值篩選搜尋時, `resource-groups:SearchResources`許可允許標籤編輯器列出資源。
`resource-explorer:ListResources` 許可允許標籤編輯器在您搜尋資源時列出資源,而無需定義搜尋標籤。
若要在主控台中使用資源群組和標籤編輯器,您也需要執行 `resource-groups:ListGroupResources`動作的許可。此許可是列出目前區域中可用資源類型的必要許可。`resource-groups:ListGroupResources` 目前不支援搭配 使用政策條件。
# 授予使用 AWS Resource Groups 和 標籤編輯器的許可
若要新增使用 AWS Resource Groups 和標籤編輯器的政策給使用者,請執行下列動作。
1. 開啟 [IAM 主控台](https://console.aws.amazon.com/iam)。
1. 在導覽窗格中,選擇**使用者** 。
1. 尋找您要授予的使用者 AWS Resource Groups 和標籤編輯器許可。選擇使用者的名稱來開啟使用者屬性頁面。
1. 選擇**新增許可**。
1. 選擇**直接連接現有政策**。
1. 選擇**建立政策**。
1. 在 **JSON** 標籤上,貼上下列政策陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*"
],
"Resource": "*"
}
]
}
```
------
**注意**
此範例政策陳述式僅授予 和 標籤編輯器動作的 AWS Resource Groups 許可。它不允許存取 AWS Resource Groups 主控台中的 AWS Systems Manager 任務。例如,此政策不會授予您使用 Systems Manager Automation 命令的許可。若要在資源群組上執行 Systems Manager 任務,您必須將 Systems Manager 許可連接到您的政策 (例如 `ssm:*`)。如需授予 Systems Manager 存取權的詳細資訊,請參閱*AWS Systems Manager 《 使用者指南*》中的[設定 Systems Manager 的存取權](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html)。
1. 選擇**檢閱政策**。
1. 為新政策提供名稱和描述 (例如,`AWSResourceGroupsQueryAPIAccess`)。
1. 選擇**建立政策**。
1. 現在政策已儲存在 IAM 中,您可以將其連接至其他使用者。如需如何將政策新增至使用者的詳細資訊,請參閱《*IAM 使用者指南*》中的[透過直接將政策連接至使用者來新增許可](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy)。
# 進一步了解 AWS Resource Groups 授權和存取控制
資源群組支援下列項目。
+ **以動作為基礎的政策。**例如,您可以建立允許使用者執行[https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html](https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html)操作的政策,但不允許其他操作。
+ **資源層級許可。**資源群組支援使用 [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) 在政策中指定個別資源。
+ **以標籤為基礎的授權。**資源群組支援在政策條件中使用資源標籤。例如,您可以建立一個政策,允許資源群組使用者完整存取您已標記的群組。
+ **暫時性登入資料**。使用者可以使用允許 AWS Resource Groups 操作的政策來擔任角色。
資源群組不支援以資源為基礎的政策。
如需資源群組和標籤編輯器如何與 AWS Identity and Access Management (IAM) 整合的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的下列主題。
+ [AWS 使用 IAM 的 服務](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [的動作、資源和條件索引鍵 AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)
+ [使用 政策控制存取](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)