本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在中打开资源管理器 AWS 区域 以索引您的资源
最初 AWS 资源探索器 在中开启时 AWS 账户,您在一个或多个中为服务创建了索引 AWS 区域。如果您使用了**[快速设置功能](getting-started-setting-up.md#getting-started-setting-up-quick)**选项,则资源管理器会自动在[已在您的 AWS 账户中开启的AWS 区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) 中创建索引。资源管理器服务还已将指定区域中的索引提升为账户的[聚合器索引](manage-aggregator-region.md)。如果您使用**[高级设置功能](getting-started-setting-up.md#getting-started-setting-up-advanced)**选项,则指定了要在其中创建索引的区域。
**Topics**
+ [在区域中创建资源管理器索引](#manage-service-turn-on-region-region)
+ [AWS 选择加入区域的注意事项](opt-in-region-considerations.md)
在中打开资源管理器时 AWS 区域,该服务将执行以下操作:
+ 在的***第一个***区域中启动资源浏览器时 AWS 账户,资源浏览器会在[名`AWSServiceRoleForResourceExplorer`为的账户中创建一个与服务相关的角色](security_iam_service-linked-roles.md)。此角色授予资源管理器使用诸如 AWS CloudTrail 和标记服务等服务的权限,以发现和索引您账户中的资源。只有当您在账户中注册***第一个*** AWS 区域 角色时,才会创建服务相关角色。资源管理器对您稍后添加的所有其他区域使用同一个服务相关角色。
+ 资源管理器在指定区域创建索引,以存储有关该区域资源的详细信息。
+ 资源管理器开始发现指定区域中的资源,并将其找到的有关这些资源的信息添加到该区域的索引中。
+ 如果您的账户已包含其他区域中的[聚合器索引](manage-aggregator-region.md),则资源管理器会开始将新区域索引中的信息复制到聚合器索引中,以支持跨区域搜索。
这些步骤完成后,用户就可以发现有关您的资源的信息。他们可以使用在同一区域或包含聚合器索引的区域中定义的其中一个[视图](manage-views.md)进行搜索。
## 在区域中创建资源管理器索引
您可以 AWS 区域 通过使用 AWS 管理控制台、使用 AWS Command Line Interface (AWS CLI) 中的命令或使用中的API操作在附加中创建资源浏览器索引 AWS SDK。您只能在一个区域中创建一个索引。
**最小权限**
要执行下列程序中的步骤,您必须具有以下权限:
+ **操作**:`resource-explorer-2:*` – **资源**:无特定资源(`*`)
+ **操作**:`iam:CreateServiceLinkedRole` – **资源**:无特定资源(`*`)
------
#### [ AWS 管理控制台 ]
**在中创建资源浏览器索引 AWS 区域**
1. 在资源管理器**[设置](https://console.aws.amazon.com/resource-explorer/home#/settings)**页面上。
1. 在**索引**部分中,选择**创建索引**。
1. 在**创建索引**页面上,选中要 AWS 区域 在其中创建索引的旁边的复选框,以支持搜索该地区的资源。“不可用”复选框表示已包含资源管理器索引的区域。
1. (可选)在**标签**部分,您可以为索引指定标签键值对。
1. 选择**创建索引**。
资源管理器会在页面顶部显示绿色横幅以表示成功,如果在一个或多个选定区域中创建索引出现错误,则显示红色横幅。
**注意**
索引本地的已标记资源会在几分钟内出现在搜索结果中。未标记的资源通常需要不到两个小时的时间便可以显示,但在需求旺盛时可能需要更长的时间。完成从所有现有本地索引向新聚合器索引的初始复制过程,也可能需要长达一个小时。
**下一步** – 如果您已经[创建了聚合器索引](manage-aggregator-region.md),则新区域会自动开始将其索引信息复制到聚合器索引。如果您的用户在那里进行所有搜索,则新区域中的资源将会出现在这些搜索结果中,表示您已完成。
但是,如果您希望用户***只能***在新编入索引的区域中搜索资源,则还必须为该区域中的用户创建视图,并向您的用户授予该视图的访问权限。有关如何创建视图的说明,请参阅 [管理资源管理器视图以提供搜索访问权限](manage-views.md)。
------
#### [ AWS CLI ]
**在中创建资源浏览器索引 AWS 区域**
对要 AWS 区域 在其中创建索引的每个位置运行以下命令,以支持搜索该区域的资源。以下示例命令在美国东部(弗吉尼亚州北部)(`us-east-1`)中注册资源管理器。
```
$ aws resource-explorer-2 create-index \
--region us-east-1
{
"Arn": "arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
"CreatedAt": "2022-11-01T20:00:59.149Z",
"State": "CREATING"
}
```
对您要在其中开启资源管理器的每个区域重复此命令,用相应的区域代码代替 `--region` 参数。
由于资源管理器在后台以异步任务的形式执行某些索引创建,因此响应可能是 `CREATING`,表示后台进程尚未完成。
**注意**
索引本地的已标记资源会在几分钟内出现在搜索结果中。未标记的资源通常需要不到两个小时的时间便可以显示,但在需求旺盛时可能需要更长的时间。完成从所有现有本地索引向新聚合器索引的初始复制过程,也可能需要长达一个小时。
您可以通过运行以下命令并检查 `ACTIVE` 状态来检查最终完成情况。
```
$ aws resource-explorer-2 get-index \
--region us-east-1
{
"Arn": "arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
"CreatedAt": "2022-07-12T18:59:10.503000+00:00",
"LastUpdatedAt": "2022-07-13T18:41:58.799000+00:00",
"ReplicatingFrom": [],
"State": "ACTIVE",
"Tags": {},
"Type": "LOCAL"
}
```
**下一步** – 如果您已经[创建了聚合器索引](manage-aggregator-region.md),则新区域会自动开始将其索引信息复制到聚合器索引。如果您的用户在那里进行所有搜索,则新区域中的资源将会出现在这些搜索结果中,表示您已完成。
但是,如果您希望用户***只能***在新编入索引的区域中搜索资源,则还必须为该区域中的用户创建视图,并向您的用户授予该视图的访问权限。有关如何创建视图的说明,请参阅 [管理资源管理器视图以提供搜索访问权限](manage-views.md)。
------
# AWS 选择加入区域的注意事项
选择加入区域比商业区域具有更高的安全要求,因为它涉及通过选择加入区域中的账户共享IAM数据。通过该IAM服务管理的所有数据都被视为身份数据。
您可以使用 [AWS 资源探索器 控制台](https://console.aws.amazon.com/resource-explorer)激活选择加入区域。[有关更多信息,请参阅中的打开资源浏览器 AWS 区域 以索引您的资源](manage-service-turn-on-region.md)。
## 选择退出行为
在选择退出加入的区域之前,请考虑以下行为:
**重要**
在您选择退出包含聚合器索引的区域之前,建议您删除聚合器索引或将其降级为本地索引。资源管理器支持在分区内的所有区域中使用一个聚合器索引。
+ 您的索引并未被删除,只是被禁用。如果您选择稍后再次加入,则您的设置将恢复。
+ IAM禁止IAM访问该地区的资源。
+ 资源管理器会禁用已选择退出的区域的索引并停止提取数据。将`ListIndexes`API不再显示区域索引。
+ 如果您的聚合器索引位于其他区域,则资源管理器会停止从已选择退出的区域复制数据,并在 24 小时内清理该数据。
+ 如果您选择退出聚合器索引区域,则必须再次选择加入才能删除或降级索引。
+ 如果您再次选择加入该区域,资源管理器会重新启用索引并开始提取数据。
+ 对选择加入区域的状态的任何更改都需要大约 24 小时才能生效。