本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置权限
要充分利用资源组和标签编辑器,您可能需要更多权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:
+ 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源。
+ 使用标签编辑器控制台所需的权限
+ 使用 AWS Resource Groups 控制台和 API 所需的权限。
如果您是管理员,则可以通过通过 AWS Identity and Access Management (IAM) 服务创建策略来为您的用户提供权限。您首先创建委托人,例如 IAM 角色或用户,或者使用类似 AWS IAM Identity Center的服务将外部身份与您的 AWS 环境关联起来。然后,您可以应用具有用户所需权限的策略。有关创建和附加 IAM 策略的信息,请参阅[使用策略](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)。
## 面向单个服务的权限
**重要**
本节描述如果要标记其他服务控制台和 API 中的资源并将这些资源添加到资源组时所需的权限。
如[资源及其组类型](resource-groups.md#resource-groups-intro)中所述,每个资源组都表示共享一个或多个标签键或值的指定类型的资源的集合。要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记 Amazon EC2 实例,您必须在该服务的 API 中具有标记操作权限,如 [Amazon EC2 用户指南](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI)中所列的那些。
要充分利用资源组功能,您需要允许访问服务控制台以及在其中与资源进行交互的其他权限。有关适用于 Amazon EC2 的此类策略的示[例,请参阅 Amazon EC2 *用户指南中的在亚马逊 EC2* 控制台中工作的策略](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html)示例。
## Resource Groups 和标签编辑器所需的权限
要使用 Resource Groups 和标签编辑器,必须在 IAM 中将以下权限添加到用户的策略声明中。您可以添加由维护和保持最新状态的 AWS托管策略 AWS,也可以创建和维护自己的自定义策略。
### 使用 AWS Resource Groups 和标签编辑器权限的托管策略
AWS Resource Groups 和标签编辑器支持以下 AWS 托管策略,您可以使用这些策略向用户提供一组预定义的权限。您可以将这些托管策略附加到任何用户、角色或组,就像您创建的任何其他策略一样。
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
此策略向附加的 IAM 角色或用户授予对 Resource Groups 和标签编辑器调用只读操作的权限。要读取资源的标签,您还必须通过单独的策略拥有该资源的权限(请参阅以下“重要说明”)。
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
此策略项附加的 IAM 角色或用户授予在标签编辑器中调用任何 Resource Groups 操作以及读取和写入标签操作的权限。要读取或写入资源的标签,您还必须通过单独的策略拥有该资源的权限(请参阅以下“重要说明”)。
**重要**
前两项策略授予调用 Resource Groups 和标签编辑器操作以及使用这些控制台的权限。对于 Resource Groups 操作,这些策略已足够,并且会授予在资源组控制台中使用任何资源所需的所有权限。
但是,对于标记操作和标签编辑器控制台,权限更加精细。您不仅必须拥有调用该操作的权限,还必须拥有对您尝试访问其标签的特定资源的相应权限。要授予标签的访问权限,您还必须附加以下策略之一:
AWS-manage [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)d 策略授予对每个服务资源的只读操作权限。 AWS 当新 AWS 服务可用时,会自动更新本政策。
许多服务都提供特定于服务的只读 AWS托管策略,您可以使用该策略将访问权限限制为仅访问该服务提供的资源。例如,Amazon EC2 提供 [AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)。
您可以创建自己的策略,仅针对您希望用户访问的少数服务和资源授予非常具体的只读操作访问权限。此策略使用“允许列表”策略或拒绝列表策略。
允许列表策略利用这样一个事实,即在策略中***明确允许***访问之前,默认情况下会拒绝访问。您可以使用以下示例的策略:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
或者,您可以使用“拒绝列表”策略,即允许访问除您明确阻止的资源之外的所有资源。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### 手动添加 Resource Groups 和标签编辑器权限
+ `resource-groups:*`(此权限允许执行所有 Resource Groups 操作。 如果您想限制用户可用的操作,则可以将星号替换为[特定的 Resource Groups 操作](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html),或者替换为以逗号分隔的操作列表)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**注意**
此 `resource-groups:SearchResources` 权限允许标签编辑器在您使用标签键或值筛选搜索时列出资源。
此 `resource-explorer:ListResources` 权限允许标签编辑器在您搜索资源时列出资源,而无需定义搜索标签。
要在控制台中使用 Resource Groups 和标签编辑器,还需要运行 `resource-groups:ListGroupResources` 操作的权限。此权限是列出当前区域中可用资源类型所必需的条件。当前不支持使用带 `resource-groups:ListGroupResources` 的策略条件。