本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的安全性 AWS Resource Groups
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
+ **雲端的安全性** – AWS 負責保護在 Cloud AWS 中執行 AWS 服務的基礎設施。 AWS 也為您提供可安全使用的服務。在 [AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中,第三方稽核員會定期測試並驗證我們的安全功效。若要進一步瞭解適用於 AWS Resource Groups的合規計劃,請參閱 [合規計劃範圍內的AWS 服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件可協助您了解如何在使用 資源群組時套用共同責任模型。下列主題說明如何設定資源群組以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護資源群組資源。
**Topics**
+ [中的資料保護 AWS Resource Groups](security_data-protection.md)
+ [的身分和存取管理 AWS Resource Groups](security-iam.md)
+ [資源群組中的記錄和監控](security_logging-monitoring.md)
+ [資源群組的合規驗證](security_compliance.md)
+ [資源群組中的彈性](security_resilience.md)
+ [資源群組中的基礎設施安全](security_infrastructure.md)
+ [AWS Resource Groups 使用界面端點存取 (AWS PrivateLink)](vpc-interface-endpoints.md)
+ [資源群組的安全最佳實務](security_best-practices.md)
# 中的資料保護 AWS Resource Groups
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 中的資料保護 AWS Resource Groups。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 Resource Groups 或使用 AWS 服務 主控台、API AWS CLI或其他 時 AWS SDKs 。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
## 資料加密
與其他 AWS 服務相比, AWS Resource Groups 具有最小的攻擊面,因為它不提供變更、新增或刪除 AWS 資源的方式,但 群組除外。資源群組會從您收集下列服務特定資訊。
+ 群組名稱 (未加密,非私有)
+ 群組描述 (未加密,但私有)
+ 群組中的成員資源 (這些資源存放在未加密的日誌中)
### 靜態加密
資源群組沒有其他隔離服務或網路流量的方式。如果適用,請使用 AWS特定的隔離。您可以使用 VPC 中的資源群組 API 和主控台,協助最大化隱私權和基礎設施安全性。
### 傳輸中加密
AWS Resource Groups 資料會在傳輸到服務的內部資料庫以進行備份時加密。這不是使用者可設定的。
### 金鑰管理
AWS Resource Groups 目前未與 整合 AWS Key Management Service ,也不支援 AWS KMS keys。
## 網際網路流量隱私權
AWS Resource Groups 使用 HTTPS 進行資源群組使用者與 之間的所有傳輸 AWS。資源群組使用傳輸層安全性 (TLS) 1.2,但也支援 TLS 1.0 和 1.1。
# 的身分和存取管理 AWS Resource Groups
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可),以使用資源群組資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [目標對象](#security_iam_audience_arg-te)
+ [使用身分驗證](#security_iam_authentication_arg-te)
+ [使用政策管理存取權](#security_iam_access-manage-arg-te)
+ [資源群組如何與 IAM 搭配使用](security_iam_service-with-iam.md)
+ [AWS 的 受管政策 AWS Resource Groups](security_iam_awsmanpol.md)
+ [使用資源群組的服務連結角色](security_iam_service-linked-roles.md)
+ [AWS Resource Groups 身分型政策範例](security_iam_id-based-policy-examples.md)
+ [對 AWS Resource Groups 身分和存取進行故障診斷](security_iam_troubleshoot.md)
## 目標對象
使用方式 AWS Identity and Access Management (IAM) 會根據您的角色而有所不同:
+ **服務使用者** — 若無法存取某些功能,請向管理員申請所需許可 (請參閱 [對 AWS Resource Groups 身分和存取進行故障診斷](security_iam_troubleshoot.md))
+ **服務管理員** — 負責設定使用者存取權並提交相關許可請求 (請參閱 [資源群組如何與 IAM 搭配使用](security_iam_service-with-iam.md))
+ **IAM 管理員** — 撰寫政策以管理存取控制 (請參閱 [AWS Resource Groups 身分型政策範例](security_iam_id-based-policy-examples.md))
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 使用者和群組
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS , 會評估這些政策。大多數政策會以 JSON 文件 AWS 的形式存放在 中。如需進一步了解 JSON 政策文件,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員會使用政策,透過定義哪些**主體**可在哪些**條件**下對哪些**資源**執行**動作**,以指定可存取的範圍。
預設情況下,使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色,供使用者後續擔任。IAM 政策定義動作的許可,無論採用何種方式執行。
### 身分型政策
身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作,以及適用的條件。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可分為*內嵌政策* (直接內嵌於單一身分) 與*受管政策* (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇,請參閱《IAM 使用者指南》**中的[在受管政策與內嵌政策之間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 資源型政策
資源型政策是附加到資源的 JSON 政策文件。範例包括 IAM *角色信任政策*與 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策中使用來自 IAM 的 AWS 受管政策。
### 存取控制清單 (ACL)
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
Amazon S3 AWS WAF和 Amazon VPC 是支援 ACLs的服務範例。如需進一步了解 ACL,請參閱《Amazon Simple Storage Service 開發人員指南》**中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他政策類型
AWS 支援其他政策類型,可設定更多常見政策類型授予的最大許可:
+ **許可界限** — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊,請參閱《 IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCP)** — 為 AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **資源控制政策 (RCP)** — 設定您帳戶中資源可用許可的上限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **工作階段政策** — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時,以參數形式傳遞的進階政策。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策適用於請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 在涉及多種政策類型時決定是否允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 資源群組如何與 IAM 搭配使用
使用 IAM 管理資源群組的存取權之前,您應該了解哪些 IAM 功能可與資源群組搭配使用。若要全面了解資源群組和其他 AWS 服務如何與 IAM 搭配使用,請參閱《IAM *使用者指南*》中的與 IAM [AWS 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [資源群組身分型政策](#security_iam_service-with-iam-id-based-policies-arg-te)
+ [資源型政策](#security_iam_resource-based-policies)
+ [以資源群組標籤為基礎的授權](#security_iam_tags)
+ [資源群組 IAM 角色](#security_iam_roles)
## 資源群組身分型政策
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。資源群組支援特定動作、資源和條件索引鍵。若要了解您在 JSON 政策中使用的所有元素,請參閱 *IAM 使用者指南*中的 [JSON 政策元素參考](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements.html)。
### 動作
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
資源群組中的政策動作在動作之前使用下列字首:`resource-groups:`。標籤編輯器動作完全在主控台中執行,但在日誌項目`resource-explorer`中具有 字首。
例如,若要授予某人使用資源群組 `CreateGroup` API 操作建立資源群組群組的許可,請在其政策中包含 `resource-groups:CreateGroup`動作。政策陳述式必須包含 `Action` 或 `NotAction` 元素。資源群組會定義自己的一組動作,描述您可以使用此服務執行的任務。
若要在單一陳述式中指定多個資源群組和標籤編輯器動作,請以逗號分隔它們,如下所示:
```
"Action": [
"resource-groups:action1",
"resource-groups:action2",
"resource-explorer:action3"
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要指定開頭是 `List` 文字的所有動作,請包含以下動作:
```
"Action": "resource-groups:List*"
```
若要查看資源群組動作的清單,請參閱《*IAM 使用者指南*》中的[適用於 的動作、資源和條件金鑰 AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)。
### Resources
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
唯一的資源群組資源是 *群組*。群組資源具有下列格式的 ARN:
```
arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}
```
如需 ARNs 格式的詳細資訊,請參閱 [Amazon Resource Name (ARNs AWS 和服務命名空間](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)。
例如,若要在陳述式中指定`my-test-group`資源群組,請使用下列 ARN:
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/my-test-group"
```
若要指定屬於特定帳戶的所有群組,請使用萬用字元 (\$1):
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/*"
```
有些資源群組動作無法在特定資源上執行,例如用於建立資源的動作。在這些情況下,您必須使用萬用字元 (\$1)。
```
"Resource": "*"
```
有些資源群組 API 動作可以涉及多個資源。例如, 會`DeleteGroup`刪除群組,因此呼叫主體必須具有刪除特定群組或所有群組的許可。若要在單一陳述式中指定多項資源,請使用逗號分隔 ARN。
```
"Resource": [
"resource1",
"resource2"
]
```
若要查看資源群組資源類型及其 ARNs 的清單,並了解您可以使用哪些動作指定每個資源的 ARN,請參閱《*IAM 使用者指南*》中的[適用於 的動作、資源和條件金鑰 AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)。
### 條件索引鍵
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
資源群組會定義自己的一組條件索引鍵,也支援使用一些全域條件索引鍵。若要查看所有 AWS 全域條件金鑰,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容金鑰](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要查看資源群組條件索引鍵的清單,並了解您可以使用條件索引鍵的動作和資源,請參閱《*IAM 使用者指南*》中的[適用於 的動作、資源和條件索引鍵 AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)。
### 範例
若要檢視資源群組身分型政策的範例,請參閱 [AWS Resource Groups 身分型政策範例](security_iam_id-based-policy-examples.md)。
## 資源型政策
資源群組不支援以資源為基礎的政策。
## 以資源群組標籤為基礎的授權
您可以將標籤連接至資源群組中的群組,或將請求中的標籤傳遞至資源群組。如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。建立或更新群組時,您可以將標籤套用至群組。如需在資源群組中標記群組的詳細資訊,請參閱本指南[在 中更新群組 AWS Resource Groups](updating-resource-groups.md)中的 [在 中建立查詢型群組 AWS Resource Groups](gettingstarted-query.md)和 。
若要檢視身分型政策範例,以根據該資源上的標籤來限制存取資源,請參閱 [根據標籤檢視群組](security_iam_id-based-policy-examples.md#security_iam_policy-examples-view-tags)。
## 資源群組 IAM 角色
[IAM 角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)是您 AWS 帳戶中具有特定許可的實體。資源群組沒有或使用服務角色。
### 搭配資源群組使用臨時登入資料
在資源群組中,您可以使用臨時登入資料以聯合身分登入、擔任 IAM 角色,或擔任跨帳戶角色。您可以透過呼叫 [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) 或 [GetFederationToken](https://docs.aws.amazon.com//STS/latest/APIReference/API_GetFederationToken.html) 等 AWS STS API 操作來取得臨時安全登入資料。
### 服務連結角色
[服務連結角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)可讓 AWS 服務存取其他服務中的資源,以代表您完成 動作。
資源群組沒有或使用服務連結角色。
### 服務角色
此功能可讓服務代表您擔任[服務角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。
資源群組沒有或使用服務角色。
# AWS 的 受管政策 AWS Resource Groups
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**AWS資源群組的 受管政策**
+ [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy)
+ [ ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources)
+ [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title)
## AWS 受管政策:ResourceGroupsServiceRolePolicy
您無法自行`ResourceGroupsServiceRolePolicy`連接至任何 IAM 實體。此政策只能連接到允許資源群組代表您執行動作的服務連結角色。如需詳細資訊,請參閱[使用資源群組的服務連結角色](security_iam_service-linked-roles.md)。
此政策會授予資源群組所需的許可,以擷取資源群組中資源以及這些資源所屬之任何 CloudFormation 堆疊的相關資訊。這可讓資源群組為群組生命週期事件功能產生 CloudWatch Events。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[ResourceGroupsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsServiceRolePolicy)`中的 。
## AWS 受管政策:ResourceGroupsandTagEditorFullAccess
當您將政策連接至委託人實體時,您會授予在 policy. AWS managed 政策中定義的實體許可,讓您比必須自行撰寫政策時更輕鬆地將適當的許可指派給使用者、群組和角色。
此政策會授予完整存取資源群組和標籤編輯器功能所需的許可。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)`中的 。
如需此政策的詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [ ResourceGroupsandTagEditorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorFullAccess.html)。
## AWS 受管政策:ResourceGroupsandTagEditorReadOnlyAccess
當您將政策連接至委託人實體時,您會授予在 policy. AWS managed 政策中定義的實體許可,讓您比必須自行撰寫政策時更輕鬆地將適當的許可指派給使用者、群組和角色。
此政策會授予 資源群組和標籤編輯器功能的唯讀存取權所需的許可。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)`中的 。
如需此政策的詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [ ResourceGroupsandTagEditorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorReadOnlyAccess.html)。
## AWS 受管政策:ResourceGroupsTaggingAPITagUntagSupportedResources
當您將政策連接至委託人實體時,您會授予在 policy. AWS managed 政策中定義的實體許可,讓您比必須自行撰寫政策時更輕鬆地將適當的許可指派給使用者、群組和角色。
此政策會授予標記和取消標記 AWS Resource Groups 標記 API 支援的所有資源類型所需的許可`AWS::CloudFormation`,但 `AWS::ApiGateway`、`AWS::CodeBuild`、 和 **除外**`AWS::ServiceCatalog`。標記和取消標記這些排除的資源類型需要額外的服務特定許可,允許標記和取消標記以外的動作。下列清單說明標記和取消標記政策中排除的資源類型所需的許可:
+ `AWS::ApiGateway` 資源類型需要 API Gateway 資源的 `apigateway:Patch`許可,而標籤子資源需要 `apigateway:Put`、`apigateway:Get`、 `apigateway:Delete`許可。
+ `AWS::CloudFormation` 資源類型需要 `cloudformation:UpdateStack`和 `cloudformation:UpdateStackSet`許可。
+ `AWS::CodeBuild` 資源類型需要 `codebuild:UpdateProject`許可。
+ `AWS::ServiceCatalog` 資源類型需要 `servicecatalog:TagResource`、`servicecatalog:UpdatePortfolio`、 `servicecatalog:UntagResource`和 `servicecatalog:UpdateProduct`許可。
此政策也會授予透過資源群組標記 API 擷取所有已標記或先前已標記之資源所需的許可。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[ ResourceGroupsTaggingAPITagUntagSupportedResources](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsTaggingAPITagUntagSupportedResources)`中的 。
如需此政策的詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [ ResourceGroupsTaggingAPITagUntagSupportedResources](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsTaggingAPITagUntagSupportedResources.html)。
## AWS 受管政策的資源群組更新
檢視自此服務開始追蹤這些變更以來,資源群組 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱[資源群組文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 更新的政策 — [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | 資源群組已更新此政策,以包含八個新服務的許可,包括 Amazon Application Recovery Controller (ARC) 和 Amazon VPC Lattice。下列許可已新增至政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ARG/latest/userguide/security_iam_awsmanpol.html) | 2024 年 12 月 20 日 |
| 新政策 – [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | 資源群組新增了新政策,以提供標記和取消標記 AWS Resource Groups 標記標記 API 支援的所有資源類型所需的許可。 | 2024 年 10 月 11 日 |
| 政策更新 – [ResourceGroupsandTagEditorFullAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorFullAccess.title) | 資源群組已更新政策,以包含其他 AWS CloudFormation 許可。 | 2023 年 8 月 10 日 |
| 政策更新 – [ResourceGroupsandTagEditorReadOnlyAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorReadOnlyAccess.title) | 資源群組已更新政策,以包含其他 AWS CloudFormation 許可。 | 2023 年 8 月 10 日 |
| 新政策 – [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy.title) | 資源群組新增了支援其服務連結角色的新政策。 | 2022 年 11 月 17 日 |
| 資源群組已開始追蹤變更 | 資源群組開始追蹤其 AWS 受管政策的變更。 | 2022 年 11 月 17 日 |
# 使用資源群組的服務連結角色
AWS Resource Groups use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至資源群組的唯一 IAM 角色類型。服務連結角色由資源群組預先定義,並包含該服務 AWS 服務 代表您呼叫其他 所需的所有許可。
服務連結角色可讓您更輕鬆地設定資源群組,因為您不需要手動新增必要的許可。資源群組會定義其服務連結角色的許可,並設定每個角色的信任政策,以確保只有資源群組服務可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
如需有關支援服務連結角色的其他 服務的資訊,請參閱服務**連結角色**欄中與 [AWS IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 資源群組的服務連結角色許可
資源群組使用下列服務連結角色來支援群組生命週期事件。選擇角色名稱上的連結,以便在建立角色之後在 IAM 主控台中檢視角色。
+ `[AWSServiceRoleForResourceGroups](https://console.aws.amazon.com/iamv2/home#/roles/details/AWSServiceRoleForResourceGroups)`
資源群組會使用此角色中的許可來查詢擁有您資源 AWS 服務 的 ,以協助解析群組成員資格,並將群組保持在up-to-date。它允許資源群組向 Amazon EventBridge 服務發出服務相關事件。
`AWSServiceRoleForResourceGroups` 服務連結角色***僅***信任下列服務擔任該角色:
+ `resourcegroups.amazonaws.com`
連接至角色的許可來自下列 AWS 受管政策。選擇政策名稱上的連結,以在 IAM 主控台中檢視政策。
+ `AWS 的 受管政策 AWS Resource Groups`
## 為資源群組建立服務連結角色
**重要**
如果您在需要此角色支援之功能的其他服務中完成動作,此服務連結角色就會出現在您的帳戶中。如需詳細資訊,請參閱[我的 中出現的新角色 AWS 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若要建立服務連結角色,[請開啟群組生命週期事件功能](monitor-groups-turn-on.md)。
## 編輯資源群組的服務連結角色
資源群組不允許您編輯 AWSServiceRoleForResourceGroups 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除資源群組的服務連結角色
只有在您關閉群組生命週期事件功能之後,才能刪除服務連結角色。
**重要**
AWS 會阻止您移除服務連結角色,直到您先[關閉建立該角色的群組生命週期事件功能](monitor-groups-turn-off.md)為止。
建議您不要刪除服務連結角色,只要您的 中有任何資源群組 AWS 帳戶。如果您刪除此角色,資源群組服務就無法與其他 互動 AWS 服務 來管理您的群組。
### 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForResourceGroups 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
------
#### [ Console ]
**刪除資源群組服務連結角色**
1. 開啟 [IAM 主控台至角色頁面](https://console.aws.amazon.com/iam/home#/roles)。
1. 尋找名為 AWSServiceRoleForResourceGroups 的角色,然後選取其旁邊的核取方塊。
1. 選擇 **刪除**。
1. 在方塊中輸入角色的名稱,確認要刪除角色的意圖,然後選擇**刪除**。
角色會從 IAM 主控台中的角色清單中消失。
------
#### [ AWS CLI ]
**刪除資源群組服務連結角色**
若要刪除角色,請完全依照所示,使用參數輸入下列命令。請勿取代任何值。
```
$ aws iam delete-service-linked-role \
--role-name AWSServiceRoleForResourceGroups
{
"DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}
```
命令會傳回任務 ID。實際的角色刪除會以非同步方式進行。您可以透過將提供的任務識別符傳遞至下列 AWS CLI 命令,來檢查角色刪除的狀態。
```
$ aws iam get-service-linked-role-deletion-status \
--deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
"Status": "SUCCEEDED"
}
```
------
## 資源群組服務連結角色支援的 區域
資源群組支援在所有提供服務 AWS 區域 的 中使用服務連結角色。如需詳細資訊,請參閱 [AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
# AWS Resource Groups 身分型政策範例
根據預設, IAM 主體,例如角色和使用者,沒有建立或修改資源群組資源的許可。他們也無法使用 AWS 管理主控台 AWS CLI或 AWS API 執行任務。IAM 管理員必須建立 IAM 政策,授予委託人對其所需的指定資源執行特定 API 操作的許可。然後,管理員必須將這些政策連接到需要這些許可的主體。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱 *IAM 使用者指南*中的[在 JSON 索引標籤上建立政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [政策最佳實務](#security_iam_policy-best-practices)
+ [使用資源群組主控台和 API](#security_iam_policy-examples-console)
+ [允許使用者檢視他們自己的許可](#security_iam_policy-examples-own-permissions)
+ [根據標籤檢視群組](#security_iam_policy-examples-view-tags)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除資源群組資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用資源群組主控台和 API
若要存取 AWS Resource Groups 和標籤編輯器主控台和 API,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 AWS 帳戶中資源群組資源的詳細資訊。如果您建立比最低必要許可更嚴格的身分型政策,則主控台和 API 命令對於具有該政策的主體 (IAM 角色或使用者) 將無法如預期運作。
為了確保這些實體仍然可以使用資源群組,請將下列政策 (或包含下列政策所列許可的政策) 連接至實體。如需更多資訊,請參閱 *IAM 使用者指南*中的[新增許可到使用者](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console):
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:List*"
],
"Resource": "*"
}
]
}
```
------
如需授予資源群組存取權的詳細資訊,請參閱本指南[授予使用 AWS Resource Groups 和 標籤編輯器的許可](gettingstarted-prereqs-permissions-howto.md)中的 。
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 根據標籤檢視群組
您可以在身分型政策中使用條件,根據標籤控制對資源群組資源的存取。此範例顯示如何建立允許檢視資源的政策,在此範例中為資源群組。不過,只有在群組標籤`project`具有與連接至呼叫主體的`project`標籤相同的值時,才會授予許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "resource-groups:GetGroup",
"Resource": "arn:aws:resource-groups:us-east-1:111122223333:group/group_name",
"Condition": {
"StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"}
}
}
]
}
```
------
您可以將此政策連接至您帳戶中的委託人。如果具有標籤索引鍵`project`和標籤值的主體`alpha`嘗試檢視資源群組,則群組也必須加上標籤 `project=alpha`。否則會拒絕使用者存取。條件標籤鍵 `project` 符合 `Project` 和 `project`,因為條件索引鍵名稱不區分大小寫。如需詳細資訊,請參閱*《IAM 使用者指南》*中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html)。
# 對 AWS Resource Groups 身分和存取進行故障診斷
使用以下資訊來協助您診斷和修正使用資源群組和 IAM 時可能遇到的常見問題。
**Topics**
+ [我無權在資源群組中執行動作](#security_iam_troubleshoot-permissions-arg-te)
+ [我未獲得執行 iam:PassRole 的授權](#security_troubleshoot-passrole)
+ [我想要允許 AWS 帳戶外的人員存取我的資源群組](#security_troubleshoot-cross-account)
## 我無權在資源群組中執行動作
如果 AWS 管理主控台 告訴您未獲授權執行 動作,則必須聯絡管理員尋求協助。您的管理員是為您提供簽署憑證的人員。
下列範例錯誤會在使用者`mateojackson`嘗試使用主控台檢視群組的詳細資訊,但沒有 `resource-groups:ListGroups` 許可時發生。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resource-groups:ListGroups on resource: arn:aws:resource-groups::us-west-2:123456789012:group/my-test-group
```
在此情況下,Mateo 會請求管理員更新他的政策,允許他使用 `my-test-group` 動作存取 `resource-groups:ListGroups` 資源。
## 我未獲得執行 iam:PassRole 的授權
如果您收到錯誤,告知您無權執行 `iam:PassRole`動作,您的政策必須更新,以允許您將角色傳遞給資源群組。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 的 IAM `marymajor` 使用者嘗試使用主控台在資源群組中執行動作時,會發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我想要允許 AWS 帳戶外的人員存取我的資源群組
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解資源群組是否支援這些功能,請參閱 [資源群組如何與 IAM 搭配使用](security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源之間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 IAM 使用者中提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《IAM 使用者指南》**中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 資源群組中的記錄和監控
所有 AWS Resource Groups 動作都會登入 AWS CloudTrail。
## 使用 記錄 AWS Resource Groups API 呼叫 AWS CloudTrail
AWS Resource Groups 和標籤編輯器已與 服務整合 AWS CloudTrail,此服務提供使用者、角色或 資源群組或標籤編輯器中 AWS 服務所採取動作的記錄。CloudTrail 會將資源群組的所有 API 呼叫擷取為事件,包括來自資源群組或標籤編輯器主控台的呼叫,以及來自對資源群組 APIs程式碼呼叫。如果您建立線索,則可以將 CloudTrail 事件持續交付至 Amazon S3 儲存貯體,包括資源群組的事件。即使您未設定追蹤,依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。使用 CloudTrail 收集的資訊,您可以判斷向資源群組提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間,以及其他詳細資訊。
若要進一步了解 CloudTrail,請參閱[「AWS CloudTrail 使用者指南」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
### CloudTrail 中的資源群組資訊
當您建立 AWS 帳戶時,會在您的帳戶上啟用 CloudTrail。當活動在資源群組或標籤編輯器主控台中發生時,該活動會與**事件歷史記錄**中的其他 AWS 服務事件一起記錄在 CloudTrail 事件中。您可以在 AWS 帳戶中檢視、搜尋和下載最近的事件。如需詳細資訊,請參閱《使用 CloudTrail 事件歷史記錄檢視事件》[https://docs.aws.amazon.com//awscloudtrail/latest/userguide/view-cloudtrail-events.html](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
若要持續記錄您 AWS 帳戶中的事件,包括資源群組的事件,請建立追蹤。線索能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。根據預設,當您在主控台建立線索時,線索會套用到所有 區域。線索會記錄 AWS 分割區中所有區域的事件,並將日誌檔案傳送到您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱:
+ [建立追蹤的概觀](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [從多個區域接收 CloudTrail 日誌檔案](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html),以及[從多個帳戶接收 CloudTrail 日誌檔案](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
CloudTrail 會記錄所有資源群組動作,並記錄在 [AWS Resource Groups API 參考](https://docs.aws.amazon.com//ARG/latest/APIReference/)中。CloudTrail 中的資源群組動作會顯示為事件,其來源`resource-groups.amazonaws.com`為 API 端點。例如,對 `CreateGroup`、`GetGroup` 以及 `UpdateGroupQuery` 動作發出的呼叫會在 CloudTrail 日誌檔案中產生項目。CloudTrail 會記錄主控台中的標籤編輯器動作,並以內部 API 端點`resource-explorer`做為來源的事件顯示。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
+ 該請求是否使用根或 IAM 使用者憑證提出。
+ 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
+ 請求是否由其他 AWS 服務提出。
如需詳細資訊,請參閱 [CloudTrail `userIdentity` 元素](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
### 了解資源群組日誌檔案項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一或多個日誌專案。一個事件為任何來源提出的單一請求,並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔案並非依公有 API 呼叫追蹤記錄的堆疊排序,因此不會以任何特定順序出現。
以下範例顯示的是展示 `CreateGroup` 動作的 CloudTrail 日誌項目。
```
{"eventVersion":"1.05",
"userIdentity":{
"type":"AssumedRole",
"principalId":"ID number:AWSResourceGroupsUser",
"arn":"arn:aws:sts::831000000000:assumed-role/Admin/AWSResourceGroupsUser",
"accountId":"831000000000","accessKeyId":"ID number",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2018-06-05T22:03:47Z"
},
"sessionIssuer":{
"type":"Role",
"principalId":"ID number",
"arn":"arn:aws:iam::831000000000:role/Admin",
"accountId":"831000000000",
"userName":"Admin"
}
}
},
"eventTime":"2018-06-05T22:18:23Z",
"eventSource":"resource-groups.amazonaws.com",
"eventName":"CreateGroup",
"awsRegion":"us-west-2",
"sourceIPAddress":"100.25.190.51",
"userAgent":"console.amazonaws.com",
"requestParameters":{
"Description": "EC2 instances that we are using for application staging.",
"Name": "Staging",
"ResourceQuery": {
"Query": "string",
"Type": "TAG_FILTERS_1_0"
},
"Tags": {
"Key":"Phase",
"Value":"Stage"
}
},
"responseElements":{
"Group": {
"Description":"EC2 instances that we are using for application staging.",
"groupArn":"arn:aws:resource-groups:us-west-2:831000000000:group/Staging",
"Name":"Staging"
},
"resourceQuery": {
"Query":"string",
"Type":"TAG_FILTERS_1_0"
}
},
"requestID":"de7z64z9-d394-12ug-8081-7zz0386fbcb6",
"eventID":"8z7z18dz-6z90-47bz-87cf-e8346428zzz3",
"eventType":"AwsApiCall",
"recipientAccountId":"831000000000"
}
```
# 資源群組的合規驗證
若要了解 AWS 服務 是否在特定合規計劃範圍內,請參閱[AWS 服務 合規計劃範圍內](https://aws.amazon.com/compliance/services-in-scope/)然後選擇您感興趣的合規計劃。如需一般資訊,請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[下載報告 in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)
您使用 時的合規責任 AWS 服務 取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務,請參閱 [AWS 安全文件](https://docs.aws.amazon.com/security/)。
# 資源群組中的彈性
AWS Resource Groups 會對內部服務資源執行自動備份。這些備份無法由使用者設定。備份會加密,包括靜態和傳輸中。資源群組會將客戶資料存放在 Amazon DynamoDB 中。
AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體隔離和隔離的可用區域,這些可用區域與低延遲、高輸送量和高備援聯網連接。透過可用區域,您所設計與操作的應用程式和資料庫,就能夠在可用區域之間自動容錯移轉,而不會發生中斷。可用區域的可用性、容錯能力和擴充能力,均較單一或多個資料中心的傳統基礎設施還高。
即使完全遺失使用者資源群組也不會導致客戶資料遺失,因為大多數客戶資料都會跨 AWS 可用區域 (AZs) 複寫。如果您意外刪除群組,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
如需 AWS 區域 和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 資源群組中的基礎設施安全
資源群組提供的服務或網路流量沒有額外的隔離方式。如果適用,請使用 AWS特定的隔離。您可以使用 VPC 中的資源群組 API 和主控台,協助最大化隱私權和基礎設施安全性。
作為受管服務, AWS Resource Groups 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及 如何 AWS 保護基礎設施的相關資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取資源群組。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
資源群組不支援以資源為基礎的政策。
# AWS Resource Groups 使用界面端點存取 (AWS PrivateLink)
您可以使用 在 VPC 和 之間 AWS PrivateLink 建立私有連線 AWS Resource Groups。您可以像在 VPC 中一樣存取資源群組,無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取資源群組。
您可以建立由 AWS PrivateLink提供支援的*介面端點*來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可做為目的地為資源群組之流量的進入點。
如需詳細資訊,請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 透過 存取 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 。
## 資源群組的考量事項
在為資源群組設定界面端點之前,請檢閱《 *AWS PrivateLink 指南*》中的[考量事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。
資源群組支援透過介面端點呼叫其所有 API 動作。
## 建立資源群組的介面端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為資源群組建立介面端點AWS CLI。如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」。
使用下列服務名稱為資源群組建立介面端點:
```
com.amazonaws.region.resource-groups
```
如果您為介面端點啟用私有 DNS,您可以使用其預設的區域 DNS 名稱向資源群組提出 API 請求。例如 `resource-groups.us-east-1.amazonaws.com`。
## 為您的介面端點建立端點政策
端點政策為 IAM 資源,您可將其連接至介面端點。預設端點政策允許透過介面端點完整存取資源群組。若要控制允許從您的 VPC 存取資源群組,請將自訂端點政策連接至介面端點。
端點政策會指定以下資訊:
+ 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。
**範例:資源群組動作的 VPC 端點政策**
以下是自訂端點政策的範例。當您將此政策連接到介面端點時,它會授予所有資源上所有主體所列出的資源群組動作的存取權。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:GetAccountSettings",
"resource-groups:GetGroupQuery"
],
"Resource":"*"
}
]
}
```
# 資源群組的安全最佳實務
以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。
+ **使用最低權限原則**將存取權授予群組。資源群組支援資源層級許可。僅根據特定使用者的需求,將存取權授予特定群組。避免在將許可指派給所有使用者或所有群組的政策陳述式中使用星號。如需最低權限的詳細資訊,請參閱《*IAM 使用者指南*》中的[授予最低權限](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。
+ **將私有資訊存放在公有欄位之外。**群組的名稱會被視為服務中繼資料。群組名稱不會加密。請勿將敏感資訊放在群組名稱中。群組描述為私有。
請勿將私有或敏感資訊放在標籤索引鍵或標籤值中。
+ 視需要**根據標記使用授權**。資源群組支援以標籤為基礎的授權。您可以標記群組,然後更新連接至 IAM 主體的政策,例如使用者和角色,以根據套用至群組的標籤來設定其存取層級。如需如何根據標籤使用授權的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用資源標籤控制 AWS 對資源的存取](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_tags.html)。
許多 AWS 服務支援根據其資源的標籤進行授權。請注意,可能會為群組中的成員資源設定標籤型授權。如果對群組資源的存取受到標籤限制,未經授權的使用者或群組可能無法對這些資源執行動作或自動化。例如,如果其中一個群組中的 Amazon EC2 執行個體標記了 的標籤索引鍵`Confidentiality`和 的標籤值`High`,而且您無權在標記 的資源上執行命令`Confidentiality:High`,即使資源群組中其他資源的動作成功,您在 EC2 執行個體上執行的動作或自動化也會失敗。如需哪些服務支援其資源的標籤型授權的詳細資訊,請參閱《IAM *使用者指南*》中的[AWS 適用於 IAM 的 服務](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
如需為您的 AWS 資源開發標記策略的詳細資訊,請參閱[AWS 標記策略](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)。