本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 什麼是資源群組?
您可以使用*資源群組*來組織 AWS 資源。 AWS Resource Groups 是一項服務,可讓您一次管理和自動化大量資源的任務。本指南說明如何在 AWS Resource Groups中建立和管理資源群組。您可以對資源執行的任務會根據您使用 AWS 的服務而有所不同。如需 支援的服務清單, AWS Resource Groups 以及每個服務允許您使用資源群組執行的操作的簡短說明,請參閱 [AWS 使用 的 服務 AWS Resource Groups](integrated-services-list.md)。
您可以透過下列任一進入點存取資源群組。
+ 在 的頂端導覽列[AWS 管理主控台](https://console.aws.amazon.com/console/home)中,選擇**服務**。然後在**管理與控管**下,選擇**資源群組和標籤編輯器**。
直接連結:[AWS Resource Groups 主控台](https://console.aws.amazon.com/resource-groups)
+ 透過使用 資源群組 API,使用 AWS CLI 命令或 AWS SDK 程式設計語言。如需詳細資訊,請參閱 [https://docs.aws.amazon.com/ARG/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/ARG/latest/APIReference/Welcome.html)。
**使用 AWS 管理主控台 家中的資源群組**
1. 登入 AWS 管理主控台。
1. 在導覽列上選擇 **Services (服務)**。
1. 在**管理與控管**下,選擇**資源群組與標籤編輯器**。
1. 在左側導覽窗格中,選擇**已儲存資源群組**以使用現有群組,或**選擇建立群組**以建立新的群組。
## 資源及其群組類型
在 中 AWS,*資源*是您可以使用的實體。範例包括 Amazon EC2 執行個體、 AWS CloudFormation 堆疊或 Amazon S3 儲存貯體。如果您使用多個資源,您可能會發現以群組形式管理它們,而不是為每個任務從一個 AWS 服務移至另一個服務很有用。如果您管理大量相關資源 (例如,組成應用程式層的 EC2 執行個體),您可能需要一次在這些資源上執行大量動作。大量動作的範例包括:
+ 套用更新或安全性修補程式。
+ 升級應用程式。
+ 開啟或關閉網路流量的連接埠。
+ 從您的執行個體機群收集特定日誌並監控資料。
*資源群組*是資源的集合,這些 AWS 資源都位於相同的 中 AWS 區域,且符合群組查詢中指定的條件。在資源群組中,有兩種類型的查詢可用來建置群組。這兩個查詢類型包括以格式 `AWS::service::resource` 指定的資源。
+ **以標籤為基礎**
標籤型資源群組以指定資源類型和標籤清單的查詢為基礎。*標籤*為索引鍵,可幫助識別和排序組織內的資源。標籤選擇性地包含索引鍵的值。
**重要**
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。我們使用標籤來為您提供帳單和管理服務。標籤不適用於私有或敏感資料。
+ **CloudFormation 堆疊型**
CloudFormation 堆疊型資源群組以查詢為基礎,在目前區域中指定您帳戶中的 CloudFormation 堆疊。您可以選擇在堆疊內選擇您要在群組中的資源類型。您只能以一個 CloudFormation 堆疊為基礎的查詢。
**服務連結資源群組**
有些 AWS 服務 定義資源群組,您只能使用該服務的主控台和 APIs 來建立和管理。您可以在資源群組主控台中對這些群組執行的操作有所限制。如需詳細資訊,請參閱《 *AWS Resource Groups API 參考指南*》中的[資源群組的服務組態](https://docs.aws.amazon.com/ARG/latest/APIReference/about-slg.html)。
資源群組可以是*巢狀*;資源群組可包含在同一區域的現有資源群組。
### 資源群組的使用案例
根據預設, AWS 管理主控台 會依 AWS 服務組織。但是,透過資源群組,您可以建立自訂主控台,根據標籤中指定的條件或 CloudFormation 堆疊中的資源來組織和合併資訊。以下清單說明資源群組可以協助組織您資源的一些案例。
+ 應用程式有不同的階段,例如開發、預備和生產。
+ 專案由多個部門或個人管理。
+ 一組用於常見專案的資源,或您想要以群組的形式管理或監控 AWS 的資源。
+ 在特定平台 (例如 Android 或 iOS) 上執行之應用程式相關的一組資源。
例如,您要開發 Web 應用程式,而且要對 alpha、beta 和發行階段維護單獨的資源集。每個版本都使用 Amazon Elastic Block Store 儲存磁碟區在 Amazon EC2 上執行。您可以使用 Elastic Load Balancing 來管理流量,並使用 Route 53 來管理您的網域。如果沒有資源群組,您可能只需要存取多個主控台來檢查服務的狀態,或修改應用程式某個版本的設定。
透過資源群組,您可以使用單一頁面來檢視和管理資源。例如,假設您使用 工具為應用程式的每個版本 - Alpha、Beta 版和發行版本 - 建立資源群組。若要檢查您的應用程式 alpha 版本的資源,請開啟您的資源群組。然後在您的資源群組頁面上檢視彙總的資訊。若要修改特定資源,請在您的資源群組頁面上選擇資源的連結,以存取您所需設定的服務主控台。
## AWS Resource Groups 和 許可
資源群組功能許可位於帳戶層級。只要共用您帳戶的 IAM 主體,例如角色和使用者具有正確的 IAM 許可,他們就可以使用您建立的資源群組。
標籤為資源的屬性,使得它們會在您的整個帳戶之間共用。部門或專業群組中的使用者可以透過通用的詞彙 (標籤) 來描繪,以建立對其角色與責任有意義的資源群組。擁有通用的標籤也表示當使用者共用資源群組時,不需擔心標籤資訊遺失或發生衝突。
## AWS Resource Groups 資源
在資源群組中,唯一可用的資源是群組。群組有與其關聯的唯一 Amazon Resource Name (ARN)。如需 ARNs 的詳細資訊,請參閱《》中的 [Amazon Resource Names (ARN) AWS 和服務命名空間](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)*Amazon Web Services 一般參考*。
| 資源類型 | ARN 格式 |
| --- | --- |
| Resource Group (資源群組) | `arn:aws:resource-groups:region:account:group/group-name` |
## 標記的運作方式
標籤是金鑰和值對,可做為中繼資料來組織您的 AWS 資源。對於大多數 AWS 資源,您可以選擇在建立資源時新增標籤,無論是 Amazon EC2 執行個體、Amazon S3 儲存貯體或其他資源。不過,您也可以使用標籤編輯器,一次將標籤新增至多個支援的資源。您可以為各種類型的資源建立查詢,然後在搜尋結果中新增、移除或取代資源的標籤。標籤式查詢會將 `AND` 運算子指派至標籤,因此,查詢會傳回符合指定資源類型和所有指定標籤的任何資源。
**重要**
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。我們使用標籤來為您提供帳單和管理服務。標籤不適用於私有或敏感資料。
如需標記的詳細資訊,請參閱[標籤編輯器使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide)。您可以使用標籤編輯器來為[支援的資源](supported-resources.md)加標籤,以及在您在其中建立和管理資源的服務主控台中使用加標籤功能,為一些額外的資源加標籤。
# 入門 AWS Resource Groups
在 中 AWS,*資源*是您可以使用的實體。範例包括 Amazon EC2 執行個體、Amazon S3 儲存貯體或 Amazon Route 53 託管區域。如果您使用多個資源,您可能會發現將它們作為群組管理,而不是為每個任務從一個 AWS 服務移至另一個服務很有用。
本節說明如何開始使用 AWS Resource Groups。首先,在標籤編輯器中標記 AWS 資源來組織資源。然後在資源群組中建置查詢,其中包含您在群組中想要的資源類型,以及您已套用至資源的標籤。
在資源群組中建立資源群組之後,請使用自動化等 AWS Systems Manager 工具來簡化資源群組的管理任務。
如需開始使用 AWS Systems Manager 功能和工具的詳細資訊,請參閱[https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html](https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html)。
**Topics**
+ [使用 的先決條件 AWS Resource Groups](gettingstarted-prereqs.md)
+ [進一步了解 AWS Resource Groups 授權和存取控制](rg-auth-access.md)
# 使用 的先決條件 AWS Resource Groups
開始使用資源群組之前,請確定您的作用中 AWS 帳戶具有現有資源和適當的權限,可對資源加上標籤和建立群組。
**Topics**
+ [註冊 AWS](#gettingstarted-prereqs-signup)
+ [建立 資源](#gettingstarted-prereqs-create)
+ [設定許可](gettingstarted-prereqs-permissions.md)
## 註冊 AWS
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
## 建立 資源
您可以建立空的資源群組,但在群組中有資源之前,將無法對資源群組成員執行任何任務。如需支援資源類型的詳細資訊,請參閱[您可以搭配 AWS Resource Groups 和 標籤編輯器使用的資源類型](supported-resources.md)。
# 設定許可
為了完整利用資源群組和標籤編輯器,您可能需要額外的許可,來為資源加上標籤或查看資源的標籤索引鍵和值。這些許可分為以下類別:
+ 個別服務的許可,使得您可以為來自那些服務的資源加上標籤,並將它們包含在資源群組中。
+ 使用標籤編輯器主控台所需的許可
+ 使用 AWS Resource Groups 主控台和 API 所需的許可。
如果您是管理員,您可以透過 AWS Identity and Access Management (IAM) 服務建立政策,為使用者提供許可。您首先建立委託人,例如 IAM 角色或使用者,或使用類似 服務將外部身分與您的 AWS 環境建立關聯 AWS IAM Identity Center。然後,您可以使用使用者所需的許可來套用政策。如需建立和連接 IAM 政策的資訊,請參閱[使用政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)。
## 個別服務的許可
**重要**
本節說明如果您想要將來自其他服務主控台和 API 的資源加上標籤,以及將這些資源新增到資源群組時所需的許可。
如[資源及其群組類型](resource-groups.md#resource-groups-intro)中所述,每個資源群組代表共用一或多個標籤索引鍵或值之指定類型的資源集合。若要將標籤新增到資源,您需要資源所屬服務所需的許可。例如,若要標記 Amazon EC2 執行個體,您的 必須擁有該服務 API 中標記動作的許可,例如 [Amazon EC2 使用者指南](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI)中列出的標記動作。
為了完整利用資源群組功能,您需要其他許可,以允許您存取服務的主控台並與該處的資源互動。如需 Amazon EC2 這類政策的範例,請參閱《[Amazon EC2 使用者指南》中的在 Amazon EC2 主控台中運作的範例政策](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html)。 *Amazon EC2 *
## 資源群組和標籤編輯器的必要許可
若要使用資源群組和標籤編輯器,必須將下列許可新增至 IAM 中的使用者政策陳述式。您可以新增由 維護並保持up-to-date的 AWS任一受管政策 AWS,也可以建立和維護自己的自訂政策。
### 針對資源群組和標籤編輯器許可使用 AWS 受管政策
AWS Resource Groups 和 標籤編輯器支援下列 AWS 受管政策,您可以使用這些政策為您的使用者提供一組預先定義的許可。您可以將這些受管政策連接到任何使用者、角色或群組,就像您建立的任何其他政策一樣。
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
此政策會授予連接的 IAM 角色或使用者許可,以呼叫資源群組和標籤編輯器的唯讀操作。若要讀取資源的標籤,您還必須透過個別的政策擁有該資源的許可 (請參閱下列重要備註)。
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
此政策授予連接的 IAM 角色或使用者許可,以呼叫任何資源群組操作和標籤編輯器中的讀取和寫入標籤操作。若要讀取或寫入資源的標籤,您還必須透過個別政策取得該資源的許可 (請參閱下列重要備註)。
**重要**
先前兩個政策會授予呼叫資源群組和標籤編輯器操作並使用那些主控台的許可。對於資源群組操作,這些政策已足夠,並授予使用資源群組主控台中任何資源所需的所有許可。
不過,對於標記操作和標籤編輯器主控台,許可更為精細。您必須不僅擁有叫用 操作的許可,還擁有您嘗試存取其標籤之特定資源的適當許可。若要授予該標籤的存取權,您還必須連接下列其中一個政策:
AWS受管政策 [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) 會為每個服務的資源授予唯讀操作的許可。當新 AWS 服務可用時, AWS 會自動將此政策保持在最新狀態。
許多 服務提供服務特定的唯讀 AWS受管政策,您可用來限制只能存取該服務提供的資源。例如,Amazon EC2 提供 [AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)。
您可以建立自己的政策,僅針對您希望使用者存取的少數服務和資源,授予對非常特定唯讀操作的存取權。此政策使用「允許清單」策略或拒絕清單策略。
允許清單策略會利用預設拒絕存取的事實,直到您在政策中***明確允許***為止。因此,您可以使用類似下列範例的政策:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
或者,您可以使用「拒絕清單」策略,允許存取您明確封鎖的資源以外的所有資源。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### 手動新增資源群組和標籤編輯器許可
+ `resource-groups:*` (此許可允許所有資源群組動作。 如果您改為限制使用者可用的動作,您可以將星號取代為[特定資源群組動作](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html),或以逗號分隔的動作清單)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**注意**
當您使用標籤索引鍵或值篩選搜尋時, `resource-groups:SearchResources`許可允許標籤編輯器列出資源。
`resource-explorer:ListResources` 許可允許標籤編輯器在您搜尋資源時列出資源,而無需定義搜尋標籤。
若要在主控台中使用資源群組和標籤編輯器,您也需要執行 `resource-groups:ListGroupResources`動作的許可。此許可是列出目前區域中可用資源類型的必要許可。`resource-groups:ListGroupResources` 目前不支援搭配 使用政策條件。
# 授予使用 AWS Resource Groups 和 標籤編輯器的許可
若要新增使用 AWS Resource Groups 和標籤編輯器的政策給使用者,請執行下列動作。
1. 開啟 [IAM 主控台](https://console.aws.amazon.com/iam)。
1. 在導覽窗格中,選擇**使用者** 。
1. 尋找您要授予的使用者 AWS Resource Groups 和標籤編輯器許可。選擇使用者的名稱來開啟使用者屬性頁面。
1. 選擇**新增許可**。
1. 選擇**直接連接現有政策**。
1. 選擇**建立政策**。
1. 在 **JSON** 標籤上,貼上下列政策陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*"
],
"Resource": "*"
}
]
}
```
------
**注意**
此範例政策陳述式僅授予 和 標籤編輯器動作的 AWS Resource Groups 許可。它不允許存取 AWS Resource Groups 主控台中的 AWS Systems Manager 任務。例如,此政策不會授予您使用 Systems Manager Automation 命令的許可。若要在資源群組上執行 Systems Manager 任務,您必須將 Systems Manager 許可連接到您的政策 (例如 `ssm:*`)。如需授予 Systems Manager 存取權的詳細資訊,請參閱*AWS Systems Manager 《 使用者指南*》中的[設定 Systems Manager 的存取權](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html)。
1. 選擇**檢閱政策**。
1. 為新政策提供名稱和描述 (例如,`AWSResourceGroupsQueryAPIAccess`)。
1. 選擇**建立政策**。
1. 現在政策已儲存在 IAM 中,您可以將其連接至其他使用者。如需如何將政策新增至使用者的詳細資訊,請參閱《*IAM 使用者指南*》中的[透過直接將政策連接至使用者來新增許可](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy)。
# 進一步了解 AWS Resource Groups 授權和存取控制
資源群組支援下列項目。
+ **以動作為基礎的政策。**例如,您可以建立允許使用者執行[https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html](https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html)操作的政策,但不允許其他操作。
+ **資源層級許可。**資源群組支援使用 [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) 在政策中指定個別資源。
+ **以標籤為基礎的授權。**資源群組支援在政策條件中使用資源標籤。例如,您可以建立一個政策,允許資源群組使用者完整存取您已標記的群組。
+ **暫時性登入資料**。使用者可以使用允許 AWS Resource Groups 操作的政策來擔任角色。
資源群組不支援以資源為基礎的政策。
如需資源群組和標籤編輯器如何與 AWS Identity and Access Management (IAM) 整合的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的下列主題。
+ [AWS 使用 IAM 的 服務](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [的動作、資源和條件索引鍵 AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)
+ [使用 政策控制存取](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)
# AWS 使用 的 服務 AWS Resource Groups
您可以搭配 使用下列 AWS 服務 AWS Resource Groups。
****
| AWS 服務 | 搭配資源群組使用 |
| --- | --- |
| [AWS CloudFormation](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/) – CloudFormation 使用堆疊範本在 中建立資源群組。 | 同時佈建和組織 AWS 資源。依標籤組織資源。從另一個堆疊組織資源。使用 Amazon CloudWatch 收集 AWS 資源群組中資源的洞見,或使用 採取操作動作 AWS Systems Manager。 如需詳細資訊,請參閱*AWS CloudFormation 《 使用者指南*》中的 [ResourceGroups 資源類型參考](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/AWS_ResourceGroups.html)。 |
| [CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/) – 使用 擷取所有資源群組動作 AWS CloudTrail。 | 擷取在資源群組上執行動作的相關資訊,包括執行動作的人員 (IAM 主體,例如角色、使用者或 AWS 服務)、執行動作的時間、動作發生的位置 (來源 IP 地址) 等詳細資訊。然後,這些記錄可用於分析或觸發後續動作。 如需詳細資訊,請參閱[「使用 CloudTrail 事件歷史記錄檢視事件」](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/view-cloudtrail-events.html)。 |
| [Amazon CloudWatch](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) – 啟用即時監控您的 AWS 資源和執行的應用程式 AWS。 | 聚焦檢視,以顯示來自單一資源群組的指標和警示。 如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南[》中的專注於資源群組中的指標和警示](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/CloudWatch_Automatic_Dashboards_Resource_Group.html)。 *Amazon CloudWatch * |
| [Amazon CloudWatch 應用程式洞察](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-what-is.html) – 偵測以 .NET 和 SQL Server 為基礎的應用程式的常見問題。 | 監控屬於資源群組的 .NET 和 SQL Server 應用程式資源。 如需詳細資訊,請參閱《*Amazon CloudWatch 使用者指南*》中的[支援的應用程式元件](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-what-is.html#appinsights-components)。 |
| [Amazon DynamoDB 資料表群組](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html) – 將您的 DynamoDB 資料表組織為邏輯分組,讓您更輕鬆地管理資源。 | 從 DynamoDB **動作**功能表中建立、編輯和刪除 DynamoDB 資料表的群組。 如需詳細資訊,請參閱 [https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html) |
| [Amazon EC2 專用主機](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/dedicated-hosts-overview.html) – 使用您現有的每個通訊端、每個核心或每個虛擬機器軟體授權,包括 Windows Server、Microsoft SQL Server、SUSE 和 Linux Enterprise Server。 | 在主機資源群組中啟動 Amazon EC2 執行個體,以協助最大化專用主機的使用率。 如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的[使用專用主機](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html)。 *Amazon EC2 * |
| [Amazon EC2 容量保留](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-capacity-reservations.html) – 為 Amazon EC2 執行個體預留容量,以便在您需要時使用。您可以指定容量保留的屬性,使其僅適用於使用相符屬性啟動的 Amazon EC2 執行個體。 | 在包含一或多個容量保留的資源群組中啟動您的 Amazon EC2 執行個體。如果群組沒有具有相符屬性的容量保留,以及所請求執行個體的可用容量,執行個體會以隨需執行個體的形式執行。如果您稍後將相符的容量保留新增至目標群組,執行個體會自動與 相符,並移至預留容量。 如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的[使用容量保留群組](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/capacity-reservations-using.html#create-cr-group)。 *Amazon EC2 * |
| [AWS License Manager](https://docs.aws.amazon.com//license-manager/latest/userguide/license-manager.html) – 簡化將軟體廠商授權帶入雲端的程序。 | 設定主機資源群組,讓 License Manager 管理您的專用主機。 如需詳細資訊,請參閱《 [License Manager 使用者指南》中的 License Manager 中的主機資源群組](https://docs.aws.amazon.com//license-manager/latest/userguide/host-resource-groups.html)*。* |
| [AWS Resilience Hub](https://docs.aws.amazon.com//resilience-hub/latest/userguide/) – 準備並保護您的應用程式免於中斷。 | 探索使用資源群組定義的應用程式。 如需詳細資訊,請參閱*AWS 新聞部落格*中的[使用 AWS Resilience Hub 測量和改善您的應用程式彈性](https://aws.amazon.com/blogs/aws/monitor-and-improve-your-application-resiliency-with-resilience-hub/)。 |
| [AWS Resource Access Manager](https://docs.aws.amazon.com//ram/latest/userguide/) – 與其他帳戶共用您擁有的指定 AWS 資源。 | 使用 共用主機資源群組 AWS RAM。 如需詳細資訊,請參閱《 使用者指南》中的[可共用資源](https://docs.aws.amazon.com//ram/latest/userguide/shareable.html#shareable-arg)。 *AWS RAM * |
| [AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/appregistry.html) – 定義和管理應用程式及其中繼資料。 | 當您在 AppRegistry 中建立應用程式時,該服務會自動為該應用程式建立資源群組。應用程式資源群組是應用程式中所有資源的集合。此服務也會為與應用程式相關聯的每個堆疊建立堆疊 CloudFormation 型資源群組。 如需詳細資訊,請參閱《 *AWS Service Catalog 管理員指南*》中的[使用 AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/appregistry.html)。 |
| [AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html) – 啟用 AWS 資源的可見性和控制。 | 收集營運洞見,並對以資源群組為基礎的應用程式採取大量動作。在 AWS Systems Manager 主控台中,Application Manager **Custom 應用程式**頁面會自動匯入和顯示以資源群組為基礎的應用程式的操作資料。您可以使用 Application Manager 中的資訊,協助您判斷應用程式中哪些資源合規且正常運作,以及哪些資源需要動作。 如需詳細資訊,請參閱*AWS Systems Manager 《 使用者指南*[》中的在 Application Manager ](https://docs.aws.amazon.com//systems-manager/latest/userguide/application-manager-working-applications.html)中使用應用程式。 |
| [Amazon VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/) – 識別對資源的不需要的網路存取 AWS。 | 您可以使用 來指定網路存取需求的來源和目的地 AWS Resource Groups。這可讓您控管整個 AWS 環境的網路存取,不受您設定網路的方式影響。 如需詳細資訊,請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[搭配使用資源群組與網路存取範圍](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/working-with-network-access-scopes.html)。 |
# 資源群組的服務組態
資源群組可讓您以單位形式管理 AWS 資源的集合。有些 AWS 服務會透過對群組的所有成員執行請求的操作來支援此作業。此類服務可以儲存要套用到群組成員的設定,做為連接到群組的 [JSON](https://www.json.org/) 資料結構形式的*組態*。
本主題說明支援的 AWS 服務可用的組態設定。
**Topics**
+ [如何存取連接至資源群組的服務組態](#about-slg-how-to-access)
+ [服務組態的 JSON 語法](#about-slg-config-syntax)
+ [支援的組態類型和參數](about-slg-types.md)
## 如何存取連接至資源群組的服務組態
支援服務連結群組的服務通常會在使用該服務提供的工具時為您設定組態,例如該服務的管理主控台或其 AWS CLI 和 AWS SDK 操作。某些服務會完全管理其服務連結群組,除非主控台或擁有 AWS 服務提供的命令允許,否則您無法以任何方式修改它們。不過,在某些情況下,您可以在 AWS SDKs 或其 AWS CLI 對等項目中使用下列 API 操作來與服務組態互動:
+ 當您使用 [CreateGroup](https://docs.aws.amazon.com//ARG/latest/APIReference/API_CreateGroup.html) 操作建立群組時,您可以將自己的組態連接到群組。
+ 您可以使用 [PutGroupConfiguration](https://docs.aws.amazon.com//ARG/latest/APIReference/API_PutGroupConfiguration.html) 操作來修改連接至群組的目前組態。
+ 您可以呼叫 [GetGroupConfiguration](https://docs.aws.amazon.com//ARG/latest/APIReference/API_GetGroupConfiguration.html) 操作來檢視資源群組的目前組態。
## 服務組態的 JSON 語法
資源群組可以包含*組態*,定義套用至該群組成員之資源的服務特定設定。
組態會以 [JSON](https://www.json.org/) 物件表示。在最上層,組態是[群組組態項目](https://docs.aws.amazon.com//ARG/latest/APIReference/API_GroupConfigurationItem.html)的陣列。每個群組組態項目都包含兩個元素:`Type`組態的 和該類型`Parameters`定義的一組 。每個參數都包含 `Name`和一或多個 的陣列`Values`。下列具有*預留位置*的範例顯示單一範例資源類型的組態的基本語法。此範例顯示具有兩個參數的類型,以及具有兩個值的每個參數。下一節會討論實際有效的類型、參數和值。
```
[
{
"Type": "configuration-type",
"Parameters": [
{
"Name": "parameter1-name",
"Values": [
"value1",
"value2"
]
},
{
"Name": "parameter2-name",
"Values": [
"value3",
"value4"
]
}
]
}
]
```
# 支援的組態類型和參數
資源群組支援使用下列組態類型。每個組態類型都有一組對該類型有效的參數。
**Topics**
+ [`AWS::ResourceGroups::Generic`](#about-slg-types-generic)
+ [`AWS::AppRegistry::Application`](#about-slg-types-appregistry)
+ [`AWS::CloudFormation::Stack`](#about-slg-types-cloudformation)
+ [`AWS::EC2::CapacityReservationPool`](#about-slg-types-ec2-capacityreservation)
+ [`AWS::EC2::HostManagement`](#about-slg-types-resourcegroups-ec2-hostmanagement)
+ [`AWS::NetworkFirewall::RuleGroup`](#about-slg-types-network-firewall-rulegroup)
## `AWS::ResourceGroups::Generic`
此組態類型會指定對資源群組強制執行成員資格需求的設定,而不是為 AWS 服務設定特定資源類型的行為。此服務連結群組會自動新增此組態類型,例如 `AWS::EC2::CapacityReservationPool`和 `AWS::EC2::HostManagment`類型。
下列`Parameters`適用於`AWS::ResourceGroups::Generic`服務連結群組 `Type`。
+ **`allowed-resource-types`**
此參數指定資源群組只能包含指定類型或類型的資源。
**值的資料類型:**字串
**允許的值:**
+ `AWS::EC2::Host` – 當服務組態也包含 類型的 時,需要`Configuration`具有此參數和值`Configuration`的 `AWS::EC2::HostManagement`。這可確保`HostManagement`群組只能包含 Amazon EC2 專用主機。
+ `AWS::EC2::CapacityReservation` – 當服務組態也包含類型 `Configuration`的項目時,需要`Configuration`具有此參數和值的 `AWS::EC2::CapacityReservationPool`。這可確保`CapacityReservation`群組只能包含 Amazon EC2 容量保留容量。
**必要:**條件式,以連接至資源群組的其他`Configuration`元素為基礎。如需**允許的值**,請參閱上一個項目。
下列範例將群組成員限制為僅限 Amazon EC2 主機執行個體。
```
[
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
}
]
}
]
```
+ **`deletion-protection`**
此參數指定無法刪除資源群組,除非它不包含任何成員。如需詳細資訊,請參閱《 *License Manager 使用者指南*》中的[刪除主機資源群組](https://docs.aws.amazon.com//license-manager/latest/userguide/host-resource-groups.html#host-resource-group-delete)
**值的資料類型:**字串陣列
**允許的值:**唯一允許的值為 `[ "UNLESS_EMPTY" ]`(值必須為大寫)。
**必要:**條件式,以連接至資源群組的其他`Configuration`元素為基礎。只有在資源群組也具有另一個具有 `Type` 之 的 `Configuration`元素時,才需要此參數`AWS::EC2::HostManagement`。
除非群組沒有成員,否則下列範例會啟用群組的刪除保護。
```
[
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
## `AWS::AppRegistry::Application`
此`Configuration`類型指定資源群組代表由 建立的應用程式 AWS Service Catalog AppRegistry。
此類型的資源群組完全由 AppRegistry 服務管理,除了使用 AppRegistry 提供的工具之外,使用者無法建立、更新或刪除。
**注意**
由於此類型的資源群組是由 自動建立和維護, AWS 而非由 使用者管理,因此這些資源群組不會計入[您可以在 中建立之資源群組數目上限 AWS 帳戶](https://console.aws.amazon.com/servicequotas/home/services/resource-groups/quotas)的配額限制。
如需詳細資訊,請參閱《*Service Catalog 使用者指南*》中的[使用 AppRegistry](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/appregistry.html)。
當 AppRegistry 建立此類型的服務連結資源群組時,也會為與應用程式相關聯的每個 AWS CloudFormation 堆疊自動建立個別的額外[CloudFormation 服務連結群組](#about-slg-types-cloudformation)。
AppRegistry 會自動為其建立的此類服務連結群組命名,字首為 ,`AWS_AppRegistry_Application-`後面接著應用程式的名稱: `AWS_AppRegistry_Application-MyAppName`
`AWS::AppRegistry::Application` 服務連結群組類型支援下列參數。
+ **`Name`**
此參數指定使用者在 AppRegistry 中建立應用程式時所指派的應用程式易記名稱。
**值的資料類型:**字串
**允許的值:**AppRegistry 服務針對應用程式名稱允許的任何文字字串。
**必要**:是
+ **`Arn`**
此參數指定 AppRegistry 所指派應用程式的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) 路徑。
**值的資料類型:**字串
**允許的值:**有效的 ARN。
**必要**:是
**注意**
若要變更任何這些元素,您必須使用 AppRegistry 主控台或該服務的 AWS SDK 和 AWS CLI 操作來修改應用程式。
此應用程式資源群組會自動將[為 CloudFormation 與 AppRegistry 應用程式相關聯的堆疊建立的資源群組](#about-slg-types-cloudformation)納入為群組成員。 AppRegistry 您可以使用 [ListGroupResources](https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroupResources.html) 操作來查看這些子群組。
下列範例顯示`AWS::AppRegistry::Application`服務連結群組的組態區段的外觀。
```
[
{
"Type": "AWS::AppRegistry::Application",
"Parameters": [
{
"Name": "Name",
"Values": [
"MyApplication"
]
},
{
"Name": "Arn",
"Values": [
"arn:aws:servicecatalog:us-east-1:123456789012:/applications/"
]
}
]
}
]
```
## `AWS::CloudFormation::Stack`
此`Configuration`類型指定 群組代表 AWS CloudFormation 堆疊,其成員是該堆疊建立 AWS 的資源。
當您將 CloudFormation 堆疊與 AppRegistry 服務建立關聯時,系統會自動為您建立此類型的資源群組。除非使用 AppRegistry 提供的工具,否則您無法建立、更新或刪除這些群組。
AppRegistry 會自動為其建立的此類服務連結群組命名,字首為 ,`AWS_CloudFormation_Stack-`後面接著堆疊的名稱: `AWS_CloudFormation_Stack-MyStackName`
**注意**
由於此類型的資源群組是由 自動建立和維護 AWS ,而非由使用者管理,因此這些資源群組不會計入[您在 中可建立之資源群組數目上限 AWS 帳戶](https://console.aws.amazon.com/servicequotas/home/services/resource-groups/quotas)的配額限制。
如需詳細資訊,請參閱《*Service Catalog 使用者指南*》中的[使用 AppRegistry](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/AppRegistry.html)。
AppRegistry 會自動為您與 AppRegistry 應用程式相關聯的每個 CloudFormation 堆疊建立此類型的服務連結資源群組。這些資源群組會成為 [ AppRegistry 應用程式父資源群組](#about-slg-types-appregistry)的子成員。
此 CloudFormation 資源群組的成員是建立為堆疊一部分 AWS 的資源。
`AWS::CloudFormation::Stack` 服務連結群組類型支援下列參數。
+ **`Name`**
此參數指定建立 CloudFormation 堆疊時,使用者指派的堆疊易記名稱。
**值的資料類型:**字串
**允許的值:** CloudFormation 服務針對堆疊名稱允許的任何文字字串。
**必要**:是
+ **`Arn`**
此參數指定連接到 AppRegistry 中應用程式的 CloudFormation 堆疊的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) 路徑。
**值的資料類型:**字串
**允許的值:**有效的 ARN。
**必要**:是
**注意**
若要變更任何這些元素,您必須使用 AppRegistry 主控台或同等 AWS SDK 和 AWS CLI 操作來修改應用程式。
下列範例顯示`AWS::CloudFormation::Stack`服務連結群組的組態區段的外觀。
```
[
{
"Type": "AWS::CloudFormation::Stack",
"Parameters": [
{
"Name": "Name",
"Values": [
"MyStack"
]
},
{
"Name": "Arn",
"Values": [
"arn:aws:cloudformation:us-east-1:123456789012:stack/MyStack/"
]
}
]
}
]
```
## `AWS::EC2::CapacityReservationPool`
此`Configuration`類型指定資源群組代表群組成員提供的常見容量集區。此資源群組的成員必須是 Amazon EC2 容量保留。資源群組可以包含您在帳戶中擁有的容量保留,以及使用 與您共用的容量保留 AWS Resource Access Manager。這可讓您使用此資源群組做為容量保留參數的值來啟動 Amazon EC2 執行個體。當您執行此操作時,執行個體會使用 群組中可用的預留容量。
如果資源群組沒有可用容量,除非您將資源群組設定為使用 Amazon EC2 UltraServer 容量區塊,否則執行個體會在集區外以獨立的隨需執行個體啟動。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[使用容量保留群組](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-cr-group.html)。
如果您設定具有此類型`Configuration`項目的服務連結資源群組,則也必須指定具有下列值的個別`Configuration`項目:
+ 具有一個參數的`AWS::ResourceGroups::Generic`類型:
+ 參數`allowed-resource-types`和 的單一值`AWS::EC2::CapacityReservation`。這可確保只有 Amazon EC2 容量保留可以是資源群組的成員。
+ 具有兩個參數的`AWS::EC2::CapacityReservationPool`類型:
+ `reservation-type`— 只有在您為 Amazon EC2 UltraServer 容量區塊設定容量保留群組時才需要。此欄位中唯一允許的值為 `capacity-block`。
+ `instance-type`— 只有在您為 Amazon EC2 UltraServer 容量區塊設定容量保留群組時才需要。此欄位中允許的值為 `trn2u.48xlarge`和 `p6e-gb200.36xlarge`。
下列範例顯示隨需容量保留的 `Configuration`區段:
```
{
"Configuration": [
{
"Type": "AWS::EC2::CapacityReservationPool",
"Parameters": []
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::CapacityReservation"
]
}
]
}
]
}
```
下列範例顯示支援 Amazon EC2 UltraServer 容量區塊的 `Configuration`區段:
```
{
"Configuration": [
{
"Type": "AWS::EC2::CapacityReservationPool",
"Parameters": [
{
"Name": "instance-type",
"Values": [
"trn2u.48xlarge"
]
},
{
"Name": "reservation-type",
"Values": [
"capacity-block"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::CapacityReservation"
]
}
]
}
]
}
```
當您使用 `reservation-type` Amazon EC2 UltraServer 容量區塊時,將 `instance-type`和 新增至資源群組組態後,下列行為適用於該資源群組:
+ 您可以將其他容量保留新增至此資源群組組態,但其他保留也必須將 `reservation-type`設定為 `capacity-block`,並將 `instance-type`設定為 `trn2u.48xlarge`或 `p6e-gb200.48xlarge`。
+ 目前, 的唯一允許值`reservation-type`為 `capacity-block`,而 的唯一允許值`instance-type`為 `trn2u.48xlarge`和 `p6e-gb200.48xlarge`。
+ 您無法將 ML 的 Amazon EC2 容量區塊新增至不包含 `reservation-type`和 `instance-type`組態的資源群組。
+ 新增 `reservation-type`和 `capacity-block`組態參數不會變更新增或移除群組保留的程序。
+ 如果您從群組中移除容量保留或刪除群組,則群組內的保留會保持使用中,直到執行個體終止為止。
+ 目前,具有 `reservation-type`和 `instance-type`組態參數的資源群組無法在初始設定後更新。若要變更或移除組態,您必須刪除群組,然後使用新組態建立新的群組。
+ 您無法在空白群組中啟動執行個體,或修改執行個體以鎖定空白群組。
## `AWS::EC2::HostManagement`
此識別符會指定 Amazon EC2 主機管理的設定 AWS License Manager ,以及針對群組成員強制執行的設定。如需詳細資訊,請參閱 [中的主機資源群組 AWS License Manager](https://docs.aws.amazon.com//license-manager/latest/userguide/host-resource-groups.html)。
如果您設定具有此類型`Configuration`項目的服務連結資源群組,則也必須指定具有下列值的個別`Configuration`項目:
+ `AWS::ResourceGroups::Generic` 類型, 參數為 `allowed-resource-types`,單一值為 `AWS::EC2::Host`。這可確保只有 Amazon EC2 專用主機可以是 群組的成員。
+ `AWS::ResourceGroups::Generic` 類型,參數為 `deletion-protection`,單一值為 `UNLESS_EMPTY`。這可確保除非群組為空,否則無法刪除群組。
`AWS::EC2::HostManagement` 服務連結群組類型支援下列參數。
+ **`auto-allocate-host`**
此參數指定執行個體是在特定專用主機上啟動,還是在任何具有相符組態的可用主機上啟動。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的[了解自動配置和親和性](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html#dedicated-hosts-understanding)。
**值的資料類型:**布林值
**允許的值:**「true」或「false」(必須是小寫)。
**必要**:否
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "auto-allocate-host",
"Values": [
"true"
]
},
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`auto-release-host`**
此參數會指定群組中的專用主機是否在其上次執行的執行個體終止後自動釋出。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[發行專用主機](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html#dedicated-hosts-releasing)。
**值的資料類型:**布林值
**允許的值:**「true」或「false」(必須是小寫)。
**必要**:否
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "auto-release-host",
"Values": [
"false"
]
},
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`allowed-host-families`**
此參數指定做為此群組成員的執行個體可以使用哪些執行個體類型系列。
**值的資料類型:**字串陣列。
**允許的值:**每個 必須是有效的 [Amazon EC2 執行個體類型系列識別符](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/instance-types.html#AvailableInstanceTypes),例如 `C4`、`P3dn`、 `M5`或 `R5d`。
**必要**:否
下列範例組態項目指定啟動的執行個體只能是 C5 或 M5 執行個體類型系列的成員。
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "allowed-host-families",
"Values": [
"c5",
"m5"
]
},
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`allowed-host-based-license-configurations`**
此參數指定您要套用至群組成員的一或多個核心/插槽型授權組態的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) 路徑。
**值的資料類型:**ARNs陣列。
**允許的值:**每個值必須是有效的 [License Manager 組態 ARN](https://docs.aws.amazon.com//service-authorization/latest/reference/about-service-linked-groups.xmllist_awslicensemanager.html#awslicensemanager-resources-for-iam-policies)。
**必要**:有條件限制。您必須指定此參數或 `any-host-based-license-configuration`,但不能同時指定兩者。它們是互斥的。
下列範例組態項目指定群組成員可以使用兩個指定的 License Manager 組態。
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "allowed-host-based-license-configurations",
"Values": [
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-6eb6586f508a786a2ba41EXAMPLE1111",
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-8a786a26f50ba416eb658EXAMPLE2222"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`any-host-based-license-configuration`**
此參數指定您不想將特定授權組態與 群組建立關聯。在這種情況下,您的主機資源群組成員可以使用所有核心/通訊端型授權組態。如果您有不限數量的授權,並想要最佳化主機使用率,請使用此設定。
**值的資料類型:**布林值
**允許的值:**「true」或「false」(必須是小寫)。
**必要**:有條件限制。您必須指定此參數或 `allowed-host-based-license-configurations`,但不能同時指定兩者。它們是互斥的。
下列範例組態項目指定群組成員可以使用任何核心/通訊端型授權組態。
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
下列範例說明如何將所有主機管理設定包含在單一組態中。
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "auto-allocate-host",
"Values": [
"true"
]
},
{
"Name": "auto-release-host",
"Values": [
"false"
]
},
{
"Name": "allowed-host-families",
"Values": [
"c5",
"m5"
]
},
{
"Name": "allowed-host-based-license-configurations",
"Values": [
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-6eb6586f508a786a2ba41EXAMPLE1111",
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-8a786a26f50ba416eb658EXAMPLE2222"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
## `AWS::NetworkFirewall::RuleGroup`
此識別符會指定針對群組成員強制執行的 AWS Network Firewall 規則群組設定。防火牆管理員可以指定此類型資源群組的 ARN,以自動解析防火牆規則群組成員的 IP 地址,而不必手動列出每個地址。如需詳細資訊,請參閱[在 中使用標籤型資源群組 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/resource-groups.html)。
您可以使用 Network Firewall 主控台或執行 AWS CLI 命令或 AWS SDK 操作來建立此組態類型的資源群組。
此組態類型的資源群組具有下列限制:
+ 群組的成員僅包含 Network Firewall 支援的類型資源。
+ 群組必須包含標籤型查詢來管理群組的成員資格;任何具有符合查詢之標籤的支援類型資源,都會自動成為群組的成員。
+ 此組態類型`Parameters`不支援 。
+ 若要刪除此組態類型的資源群組,任何 Network Firewall 規則群組都無法參考它。
下列範例說明此類型群組的 `Configuration`和 `ResourceQuery`區段。
```
{
"Configuration": [
{
"Type": "AWS::NetworkFirewall::RuleGroup",
"Parameters": []
}
],
"ResourceQuery": {
"Query": "{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\"],\"TagFilters\":[{\"Key\":\"environment\",\"Values\":[\"production\"]}]}",
"Type": "TAG_FILTERS_1_0"
}
}
```
下列範例 AWS CLI 命令會使用先前的組態和查詢建立資源群組。
```
$ aws resource-groups create-group \
--name test-group \
--resource-query '{"Type": "TAG_FILTERS_1_0", "Query": "{\"ResourceTypeFilters\": [\"AWS::EC2::Instance\"], \"TagFilters\": [{\"Key\": \"environment\", \"Values\": [\"production\"]}]}"}' \
--configuration '[{"Type": "AWS::NetworkFirewall::RuleGroup", "Parameters": []}]'
{
"Group":{
"GroupArn":"arn:aws:resource-groups:us-west-2:123456789012:group/test-group",
"Name":"test-group",
"OwnerId":"123456789012"
},
"Configuration": [
{
"Type": "AWS::NetworkFirewall::RuleGroup",
"Parameters": []
}
],
"ResourceQuery": {
"Query": "{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\"],\"TagFilters\":[{\"Key\":\"environment\",\"Values\":[\"production\"]}]}",
"Type": "TAG_FILTERS_1_0"
}
}
```