本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Resource Groups
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**AWS資源群組的 受管政策**
+ [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy)
+ [ ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources)
+ [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title)
## AWS 受管政策:ResourceGroupsServiceRolePolicy
您無法自行`ResourceGroupsServiceRolePolicy`連接至任何 IAM 實體。此政策只能連接到允許資源群組代表您執行動作的服務連結角色。如需詳細資訊,請參閱[使用資源群組的服務連結角色](security_iam_service-linked-roles.md)。
此政策會授予資源群組所需的許可,以擷取資源群組中資源以及這些資源所屬之任何 CloudFormation 堆疊的相關資訊。這可讓資源群組為群組生命週期事件功能產生 CloudWatch Events。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[ResourceGroupsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsServiceRolePolicy)`中的 。
## AWS 受管政策:ResourceGroupsandTagEditorFullAccess
當您將政策連接至委託人實體時,您會授予在 policy. AWS managed 政策中定義的實體許可,讓您比必須自行撰寫政策時更輕鬆地將適當的許可指派給使用者、群組和角色。
此政策會授予完整存取資源群組和標籤編輯器功能所需的許可。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)`中的 。
如需此政策的詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [ ResourceGroupsandTagEditorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorFullAccess.html)。
## AWS 受管政策:ResourceGroupsandTagEditorReadOnlyAccess
當您將政策連接至委託人實體時,您會授予在 policy. AWS managed 政策中定義的實體許可,讓您比必須自行撰寫政策時更輕鬆地將適當的許可指派給使用者、群組和角色。
此政策會授予 資源群組和標籤編輯器功能的唯讀存取權所需的許可。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)`中的 。
如需此政策的詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [ ResourceGroupsandTagEditorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsandTagEditorReadOnlyAccess.html)。
## AWS 受管政策:ResourceGroupsTaggingAPITagUntagSupportedResources
當您將政策連接至委託人實體時,您會授予在 policy. AWS managed 政策中定義的實體許可,讓您比必須自行撰寫政策時更輕鬆地將適當的許可指派給使用者、群組和角色。
此政策會授予標記和取消標記 AWS Resource Groups 標記 API 支援的所有資源類型所需的許可`AWS::CloudFormation`,但 `AWS::ApiGateway`、`AWS::CodeBuild`、 和 **除外**`AWS::ServiceCatalog`。標記和取消標記這些排除的資源類型需要額外的服務特定許可,允許標記和取消標記以外的動作。下列清單說明標記和取消標記政策中排除的資源類型所需的許可:
+ `AWS::ApiGateway` 資源類型需要 API Gateway 資源的 `apigateway:Patch`許可,而標籤子資源需要 `apigateway:Put`、`apigateway:Get`、 `apigateway:Delete`許可。
+ `AWS::CloudFormation` 資源類型需要 `cloudformation:UpdateStack`和 `cloudformation:UpdateStackSet`許可。
+ `AWS::CodeBuild` 資源類型需要 `codebuild:UpdateProject`許可。
+ `AWS::ServiceCatalog` 資源類型需要 `servicecatalog:TagResource`、`servicecatalog:UpdatePortfolio`、 `servicecatalog:UntagResource`和 `servicecatalog:UpdateProduct`許可。
此政策也會授予透過資源群組標記 API 擷取所有已標記或先前已標記之資源所需的許可。
若要查看此 AWS 受管政策的最新版本,請參閱 IAM 主控台`[ ResourceGroupsTaggingAPITagUntagSupportedResources](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsTaggingAPITagUntagSupportedResources)`中的 。
如需此政策的詳細資訊,請參閱《 *AWS 受管政策參考指南*》中的 [ ResourceGroupsTaggingAPITagUntagSupportedResources](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ResourceGroupsTaggingAPITagUntagSupportedResources.html)。
## AWS 受管政策的資源群組更新
檢視自此服務開始追蹤這些變更以來,資源群組 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱[資源群組文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 更新的政策 — [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | 資源群組已更新此政策,以包含八個新服務的許可,包括 Amazon Application Recovery Controller (ARC) 和 Amazon VPC Lattice。下列許可已新增至政策: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/ARG/latest/userguide/security_iam_awsmanpol.html) | 2024 年 12 月 20 日 |
| 新政策 – [ResourceGroupsTaggingAPITagUntagSupportedResources](#security-iam-awsmanpol-ResourceGroupsTaggingAPITagUntagSupportedResources.title) | 資源群組新增了新政策,以提供標記和取消標記 AWS Resource Groups 標記標記 API 支援的所有資源類型所需的許可。 | 2024 年 10 月 11 日 |
| 政策更新 – [ResourceGroupsandTagEditorFullAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorFullAccess.title) | 資源群組已更新政策,以包含其他 AWS CloudFormation 許可。 | 2023 年 8 月 10 日 |
| 政策更新 – [ResourceGroupsandTagEditorReadOnlyAccess](#security-iam-awsmanpol-ResourceGroupsandTagEditorReadOnlyAccess.title) | 資源群組已更新政策,以包含其他 AWS CloudFormation 許可。 | 2023 年 8 月 10 日 |
| 新政策 – [ResourceGroupsServiceRolePolicy](#security-iam-awsmanpol-ResourceGroupsServiceRolePolicy.title) | 資源群組新增了支援其服務連結角色的新政策。 | 2022 年 11 月 17 日 |
| 資源群組已開始追蹤變更 | 資源群組開始追蹤其 AWS 受管政策的變更。 | 2022 年 11 月 17 日 |