本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Resure Groups 如何与 IAM 结合使用
在使用 IAM 管理对 Resource Groups 的访问之前,您应了解哪些 IAM 功能可与 Resource Groups 结合使用。要大致了解 Resource Groups 和其它 AWS 服务如何与 IAM 一起使用,请参阅 *IAM 用户指南*中的[与 IAM 一起使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Resource Groups 基于身份的策略](#security_iam_service-with-iam-id-based-policies-arg-te)
+ [基于资源的策略](#security_iam_resource-based-policies)
+ [基于 Resource Groups 标签的授权](#security_iam_tags)
+ [Resource Groups IAM 角色](#security_iam_roles)
## Resource Groups 基于身份的策略
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Resource Groups 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Resource Groups 中的策略操作在操作前使用以下前缀:`resource-groups:`。标签编辑器操作完全在控制台中执行,但在日志条目中带有前缀 `resource-explorer`。
例如,要授予某人使用 Resource Groups `CreateGroup` API 操作创建 Resource Groups 组的权限,您应将 `resource-groups:CreateGroup` 操作纳入其策略中。策略语句必须包含 `Action` 或 `NotAction` 元素。Resource Groups 定义了一组自己的操作,以描述您可以使用该服务执行的任务。
要在单个语句中指定多项 Resource Groups 和标签编辑器操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"resource-groups:action1",
"resource-groups:action2",
"resource-explorer:action3"
```
您也可以使用通配符(\*)指定多个操作。例如,要指定以单词 `List` 开头的所有操作,包括以下操作:
```
"Action": "resource-groups:List*"
```
要查看 Resource Groups 操作的列表,请参阅 *IAM 用户指南* 中的 [AWS Resource Groups的操作、资源和条件键](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\*) 指示语句应用于所有资源。
```
"Resource": "*"
```
唯一的 Resource Groups 资源是*组*。组资源采用以下 ARN 格式:
```
arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}
```
有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)。
例如,要在语句中指定 `my-test-group` 资源组,请使用以下 ARN:
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/my-test-group"
```
要指定属于特定账户的所有组,请使用通配符(\*):
```
"Resource": "arn:aws:resource-groups:us-east-1:123456789012:group/*"
```
无法对特定资源执行某些 Resource Groups 操作,例如,用于创建资源的操作。在这些情况下,您必须使用通配符(\*)。
```
"Resource": "*"
```
一些 Resource Groups API 操作可涉及多种资源。例如,`DeleteGroup` 删除群组,因此调用主体必须具有删除特定组或所有组的权限。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
]
```
要查看 Resource Groups 资源类型及其列表 ARNs,并了解您可以使用哪些操作来指定每种资源的 ARN,请参阅 *IAM 用户*指南 AWS Resource Groups中的[操作、资源和条件密钥](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Resource Groups 定义了自己的一组条件键,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看 Resource Groups 条件键的列表,并了解可以对哪些操作和资源使用条件键,请参阅 *IAM 用户指南*中的 [AWS Resource Groups的操作、资源和条件键](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)。
### 示例
要查看基于 Resource Groups 身份的策略示例,请参阅 [AWS Resource Groups 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 基于资源的策略
Resource Groups 不支持基于资源的策略。
## 基于 Resource Groups 标签的授权
您可以将标签附加到 Resource Groups 中的组,或者在请求中将标签传递给 Resource Groups。要基于标签控制访问,您需要使用 `aws:ResourceTag/{{key-name}}``aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。在创建或更新组时,可以将标签应用于此组。有关在 Resource Groups 中为组添加标签的更多信息,请参阅本指南中的 [在中创建基于查询的群组 AWS Resource Groups](gettingstarted-query.md) 和 [更新中的群组 AWS Resource Groups](updating-resource-groups.md)。
要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅 [查看基于标签的组](security_iam_id-based-policy-examples.md#security_iam_policy-examples-view-tags)。
## Resource Groups IAM 角色
I [AM 角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。Resource Groups 没有或不使用服务角色。
### 将临时凭证用于 Resource Groups
在 Resource Groups 中,您可以使用临时凭证进行联合身份登录,担任 IAM 角色或担任跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com//STS/latest/APIReference/API_GetFederationToken.html)。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。
Resource Groups 没有服务相关角色,也没有使用服务相关角色。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。
Resource Groups 没有或不使用服务角色。