As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Conceitos básicos sobre o Tag Editor
Introdução

**Importante**  
Não armazene informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. Usamos tags para fornecer serviços de cobrança e administração. As tags não devem ser usadas para dados sensíveis ou privados.

Para adicionar tags (ou editar ou excluir tags) a vários recursos de uma vez, use o Tag Editor. Com o Tag Editor, você pode pesquisar os recursos que deseja marcar e gerenciar as tags dos recursos nos resultados da pesquisa. 

**Para iniciar o Tag Editor**

1. Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/console/home).

1. Execute uma das seguintes etapas:
   + Selecione **Serviços**. Em seguida, em **Gerenciamento e governança**, escolha **Grupos de recursos e Tag Editor**. No painel de navegação à esquerda, escolha **Tag Editor**.
   + Use o link direto:[Console do Tag Editor da AWS](https://console.aws.amazon.com/resource-groups/tag-editor/find-resources).

Nem todos os recursos podem ter tags aplicadas. Para obter informações sobre quais recursos o Tag Editor oferece suporte, consulte a coluna de **marcação do Tag Editor** em [Tipos de recursos compatíveis](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) no *Guia do usuário do AWS Resource Groups *. Se um tipo de recurso que você deseja marcar não for compatível, AWS informe-o escolhendo **Feedback** no canto inferior esquerdo da janela do console.

Para obter informações sobre as permissões e funções necessárias para marcar recursos, consulte [Configurar permissões](gettingstarted-prereqs-permissions.md).

**Topics**
+ [

# Pré-requisitos para trabalhar com o Tag Editor
](gettingstarted-prereqs.md)
+ [

# Configurar permissões
](gettingstarted-prereqs-permissions.md)

# Pré-requisitos para trabalhar com o Tag Editor
Pré-requisitos

Antes de começar a trabalhar para marcar seus recursos, tenha uma Conta da AWS ativa com recursos existentes e direitos apropriados para marcar recursos e criar grupos.

**Topics**
+ [

## Inscreva-se para um Conta da AWS
](#sign-up-for-aws)
+ [

## Criar um usuário com acesso administrativo
](#create-an-admin)
+ [

## Criar recursos do
](#gettingstarted-prereqs-create)

## Inscreva-se para um Conta da AWS


Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

**Para se inscrever em um Conta da AWS**

1. Abra a [https://portal.aws.amazon.com/billing/inscrição.](https://portal.aws.amazon.com/billing/signup)

1. Siga as instruções online.

   Parte do procedimento de inscrição envolve receber uma chamada telefônica ou uma mensagem de texto e inserir um código de verificação pelo teclado do telefone.

   Quando você se inscreve em um Conta da AWS, um *Usuário raiz da conta da AWS*é criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar [tarefas que exigem acesso de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, você pode visualizar a atividade atual da sua conta e gerenciar sua conta acessando [https://aws.amazon.com/e](https://aws.amazon.com/) escolhendo **Minha conta**.

## Criar um usuário com acesso administrativo


Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS Centro de Identidade do AWS IAM, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.

**Proteja seu Usuário raiz da conta da AWS**

1.  Faça login [Console de gerenciamento da AWS](https://console.aws.amazon.com/)como proprietário da conta escolhendo **Usuário raiz** e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, insira a senha.

   Para obter ajuda ao fazer login usando o usuário-raiz, consulte [Fazer login como usuário-raiz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) no *Guia do usuário do Início de Sessão da AWS *.

1. Habilite a autenticação multifator (MFA) para o usuário-raiz.

   Para obter instruções, consulte [Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) do *usuário do IAM*.

**Criar um usuário com acesso administrativo**

1. Habilita o Centro de Identidade do IAM.

   Para obter instruções, consulte [Habilitar o Centro de Identidade do AWS IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

1. No Centro de Identidade do IAM, conceda o acesso administrativo a um usuário.

   Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte [Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) no *Guia Centro de Identidade do AWS IAM do usuário*.

**Iniciar sessão como o usuário com acesso administrativo**
+ Para fazer login com o seu usuário do Centro de Identidade do IAM, use o URL de login enviado ao seu endereço de e-mail quando o usuário do Centro de Identidade do IAM foi criado.

  Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como [fazer login no portal de AWS acesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) no *Guia Início de Sessão da AWS do usuário*.

**Atribuir acesso a usuários adicionais**

1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.

   Para obter instruções, consulte [Criar um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

1. Atribua usuários a um grupo e, em seguida, atribua o acesso de logon único ao grupo.

   Para obter instruções, consulte [Adicionar grupos](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

## Criar recursos do


Você deve ter recursos em sua tag Conta da AWS to. Para obter mais informações sobre os tipos de recursos compatíveis, consulte a coluna **Marcação do Tag Editor** em [Tipos de recursos com suporte](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) no *Guia do usuário do AWS Resource Groups *.

# Configurar permissões


Para aproveitar ao máximo o Tag Editor, você talvez precise de permissões adicionais para marcar recursos ou para ver as chaves e valores de tag de um recurso. Essas permissões se encaixam nas seguintes categorias: 
+ Permissões para serviços individuais, para que você possa marcar recursos desses serviços e incluí-los em grupos de recursos.
+ Permissões que são necessárias para usar o console do Tag Editor.

Se você for administrador, poderá fornecer permissões para seus usuários criando políticas por meio do serviço AWS Identity and Access Management (IAM). Primeiro, crie grupos, usuários ou perfis do IAM e, em seguida, aplique as políticas com as permissões que eles precisam. Para obter informações sobre como criar e anexar políticas do IAM, consulte [Como trabalhar com políticas](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html).

## Permissões para serviços individuais


**Importante**  
Esta seção descreve as permissões necessárias se você quiser marcar recursos **de outros consoles de AWS serviço e. APIs**

Para adicionar tags a um recurso, você precisa das permissões necessárias para o serviço ao qual o recurso pertence. Por exemplo, para marcar instâncias do Amazon EC2, você deve ter permissões para as operações de marcação na API desse serviço, como a operação do [Amazon EC2 CreateTags](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html).

## Permissões necessárias para usar o console do Tag Editor


Para usar o console do Tag Editor para listar e marcar recursos, as permissões a seguir devem ser adicionadas a uma declaração de política de usuário no IAM. Você pode adicionar políticas AWS gerenciadas que são mantidas e AWS atualizadas ou criar e manter sua própria política personalizada.

### Usando políticas AWS gerenciadas para permissões do Editor de tags
Políticas gerenciadas

O Tag Editor oferece suporte às seguintes políticas AWS gerenciadas que você pode usar para fornecer um conjunto predefinido de permissões aos seus usuários. Você pode anexar essas políticas gerenciadas a qualquer perfil, usuário ou grupo da mesma forma que faria com qualquer outra política criada por você.

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**  
Essa política concede ao papel do IAM ou ao usuário anexado permissão para chamar as operações somente de leitura tanto para o Editor de tags AWS Resource Groups quanto para o Editor de tags. Para ler as tags de um recurso, você também deve ter permissões para esse recurso por meio de uma política separada. Saiba mais na observação **Importante** a seguir.

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**  
Essa política concede ao usuário e perfil do IAM anexado permissão para chamar qualquer operação do Resource Groups e as operações de tag de leitura e gravação no Tag Editor. Para ler ou gravar as tags de um recurso, você também deve ter permissões para esse recurso por meio de uma política separada. Saiba mais na observação **Importante** a seguir.

**Importante**  
As duas políticas anteriores concedem permissão para chamar as operações do Tag Editor e usar o console do Tag Editor. No entanto, você também deve ter permissões não apenas para invocar a operação, mas também permissões apropriadas para o recurso específico cujas tags você está tentando acessar. Para conceder esse acesso às tags, é necessário anexar uma das seguintes políticas:  
A política AWS gerenciada [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)concede permissões para as operações somente de leitura dos recursos de cada serviço. AWS mantém automaticamente essa política atualizada com as novas à Serviços da AWS medida que elas se tornam disponíveis.
Muitos serviços fornecem políticas AWS gerenciadas somente para leitura específicas que você pode usar para limitar o acesso somente aos recursos fornecidos por esse serviço. Por exemplo, o Amazon EC2 fornece [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess).
Você pode criar sua própria política que conceda acesso somente às operações somente leitura específicas para os poucos serviços e recursos que você deseja que seus usuários acessem. Essa política usa uma estratégia de lista de permissões ou lista de negação.  
Uma estratégia de lista de permissões aproveita o fato de que o acesso é negado por padrão até que você o ***permita explicitamente*** em uma política. Portanto, você pode usar uma política como o exemplo a seguir.  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:us-east-1:444455556666:*",
                  "arn:aws:s3:::amzn-s3-demo-bucket2"
                  ]
          }
      ]
  }
  ```
Como alternativa, você pode usar uma estratégia de lista de negação que permita acesso a todos os recursos, exceto aqueles que você bloqueia explicitamente. Isso requer uma política separada que se aplique aos usuários relevantes e que permita o acesso. O exemplo de política a seguir nega o acesso aos recursos específicos listados pelo nome do recurso da Amazon (ARN).  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Deny",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:us-east-1:123456789012:instance:*",
                  "arn:aws:s3:::amzn-s3-demo-bucket3"
               ]
          }
      ]
  }
  ```

### Adicionar permissões do Tag Editor manualmente
Permissões manuais
+ `tag:*` (Essa permissão permite todas as ações do Tag Editor. Se, em vez disso, quiser restringir as ações que estão disponíveis para um usuário, você pode substituir o asterisco por uma [ação específica](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) ou por uma lista de ações separadas por vírgulas.)
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
+ `resource-groups:SearchResources`
+ `resource-groups:ListResourceTypes`

**nota**  
A permissão `resource-groups:SearchResources` possibilita que o Tag Editor liste recursos quando você filtra sua pesquisa usando chaves ou valores de tag.   
A permissão `resource-explorer:ListResources` possibilita que o Tag Editor liste recursos quando você pesquisa recursos sem definir tags de pesquisa. 

## Conceder permissões para usar o Tag Editor


Para adicionar uma política de uso AWS Resource Groups do Editor de tags a uma função, faça o seguinte.

1. Abra o [console do IAM na página **Perfis**](https://console.aws.amazon.com/iamv2/home#/roles).

1. Encontre o perfil ao qual você deseja conceder as permissões do Tag Editor. Escolha o nome do perfil para abrir a página **Resumo** do perfil.

1. Na guia **Permissões**, escolha **Adicionar permissões**.

1. Escolha **Anexar políticas existentes diretamente**.

1. Escolha **Criar política**.

1. Na guia **JSON**, cole a seguinte declaração de política.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "tag:GetResources",
           "tag:TagResources",
           "tag:UntagResources",
           "tag:getTagKeys",
           "tag:getTagValues",
           "resource-explorer:*",
           "resource-groups:SearchResources",
           "resource-groups:ListResourceTypes"
         ],
         "Resource": "*"
       }
     ]
   }
   ```

------
**nota**  
Esta declaração de política concede permissões somente para ações do Tag Editor.

1. Escolha **Próximo: etiquetas** e **Próximo: revisar**.

1. Digite um nome e uma descrição para a nova política. Por exemplo, .**AWSTaggingAccess**

1. Escolha **Criar política**.

Agora que a política está salva no IAM, você pode vinculá-la a outras entidades principais, como perfis, grupos ou usuários. Para obter informações sobre como adicionar uma política a uma entidade principal, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do IAM*.

## Autorização e controle de acesso com base em tags


Serviços da AWS apoie o seguinte:
+ **Políticas baseadas em ações**: por exemplo, você pode criar uma política que permita que os usuários executem operações `GetTagKeys` ou `GetTagValues`, mas não outras.
+ **Permissões em nível de recurso nas políticas** — Muitos serviços oferecem suporte ao uso [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)para especificar recursos individuais na política.
+ **Autorização baseada em tags**: muitos serviços oferecem suporte ao uso de tags de recurso na condição de uma política. Por exemplo, você pode criar uma política que conceda a usuários acesso total a um grupo que possui a mesma tag dos usuários. Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do AWS Identity and Access Management usuário*.
+ **Credenciais temporárias**: os usuários podem assumir um perfil com uma política que permita operações do Tag Editor.

O Tag Editor não usa perfis vinculados a serviço.

Para obter mais informações sobre como o Tag Editor se integra ao AWS Identity and Access Management (IAM), consulte os tópicos a seguir no *Guia do AWS Identity and Access Management usuário*:
+ [AWS serviços que funcionam com o IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [Ações, recursos e chaves de condição para o Tag Editor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstageditor.html)
+ [Controle de acesso aos recursos da AWS usando políticas](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)