本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置权限
要充分利用标签编辑器,您可能需要更多权限来标记资源或查看资源的标签键和值。这些权限分为以下类别:
+ 面向单个服务的权限,用于标记和在资源组中包含相应服务的资源。
+ 使用标签编辑器控制台所需的权限。
如果您是管理员,则可以通过通过 AWS Identity and Access Management (IAM) 服务创建策略来为用户提供权限。首先创建 IAM 角色、用户或组,然后应用相应策略为他们提供所需权限。有关创建和附加 IAM 策略的信息,请参阅[使用策略](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)。
## 面向单个服务的权限
**重要**
本节介绍在您想要标记**来自其他 AWS 服务控制台的资源时所需的权限,以及 APIs**。
要向资源添加标签,您需要拥有对资源所属的服务的必要权限。例如,要标记 Amazon EC2 实例,您必须拥有在该服务的 API 中执行标记操作的权限,例如 [Amazon EC2CreateTags](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html) 操作。
## 使用标签编辑器控制台所需的权限
要使用标签编辑器控制台列出和标记资源,必须在 IAM 中将以下权限添加到用户的策略声明中。您可以添加由其维护和保持最新的 AWS 托管策略 AWS,也可以创建和维护自己的自定义策略。
### 使用 AWS 托管策略获得标签编辑器权限
标签编辑器支持以下 AWS 托管策略,您可以使用这些策略向用户提供一组预定义的权限。正如您创建的任何其他策略一样,您可以将这些托管策略附加到任何角色、用户或组。
**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
此策略授予附加的 IAM 角色或用户调用两者的只读操作 AWS Resource Groups 和标签编辑器的权限。要读取资源的标签,还必须通过单独的策略拥有该资源的权限。请在以下**重要**说明中了解更多信息。
**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
此策略授予附加的 IAM 角色或用户权限,以在标签编辑器中调用任何资源组操作以及调用读取和写入标签操作。要读取或写入资源的标签,您还必须通过单独的策略拥有该资源的权限。请在以下**重要**说明中了解更多信息。
**重要**
前两项策略授予调用标签编辑器操作和使用标签编辑器控制台的权限。但是,您不仅需要拥有调用该操作的权限,还必须拥有您尝试访问其标签的特定资源的相应权限。要授予对标签的访问权限,您还必须附加以下策略之一:
AWS 托管策略[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)授予对每个服务资源的只读操作权限。 AWS AWS 服务 当有新政策可用时,会自动更新此政策。
许多服务都提供特定于服务的只读 AWS 托管策略,您可以使用这些策略将访问权限限制为仅访问该服务提供的资源。例如,Amazon EC2 提供 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)。
您可以创建自己的策略,仅授予您希望用户访问的少数服务和资源的特定只读操作的权限。此策略使用允许列表或拒绝列表策略。
允许列表策略利用了这样一个事实:在策略中,在***明确允许***访问之前,默认情况下访问是被拒绝的。因此,您可以使用以下示例中体现出的政策。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "tag:*" ],
"Resource": [
"arn:aws:ec2:us-east-1:444455556666:*",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
或者,您可以使用拒绝列表策略,允许访问除您明确屏蔽的资源之外的其他资源。这需要一个针对相关用户允许访问的单独策略。以下是一个策略示例,它拒绝对Amazon 资源名称(ARN)所列特定资源的访问。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "tag:*" ],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance:*",
"arn:aws:s3:::amzn-s3-demo-bucket3"
]
}
]
}
```
### 手动添加标签编辑器权限
+ `tag:*`(此权限允许所有标签编辑器操作。如果您想限制用户的可用操作,则可以将星号替换为[特定操作](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)或替换为以逗号分隔的操作列表。)
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
+ `resource-groups:SearchResources`
+ `resource-groups:ListResourceTypes`
**注意**
此 `resource-groups:SearchResources` 权限允许标签编辑器在您使用标签键或值筛选搜索时列出资源。
此 `resource-explorer:ListResources` 权限允许标签编辑器在您搜索资源时列出资源,而无需定义搜索标签。
## 授予使用标签编辑器的权限
要为角色添加使用策略 AWS Resource Groups 和标签编辑器,请执行以下操作。
1. 打开 [IAM 控制台的**角色**页面](https://console.aws.amazon.com/iamv2/home#/roles)。
1. 找到要授予其标签编辑器权限的角色。选择新角色以打开该角色的**摘要**页面。
1. 在**权限**选项卡中,请选择**添加权限**。
1. 选择**直接附加现有策略**。
1. 选择 **创建策略**。
1. 在 **JSON** 选项卡上,粘贴以下策略声明。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*",
"resource-groups:SearchResources",
"resource-groups:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
**注意**
该策略声明仅授予执行标签编辑器操作的权限。
1. 依次选择 **Next: Tags(下一步:标签)**和 **Next: Review(下一步:查看)**。
1. 输入新策略的名称和说明。例如 **AWSTaggingAccess**。
1. 选择 **创建策略**。
现在,策略已保存在 IAM 中,您可以将其附加到其他主体,例如角色、群组或用户。有关将策略添加到主体的更多信息,请参阅 *《IAM 用户指南》* 中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
## 基于标签的授权和访问控制
AWS 服务 支持以下内容:
+ **基于操作的策略** – 例如,您可以创建一个策略,以允许用户执行 `GetTagKeys` 或 `GetTagValues` 操作,但不能执行其他操作。
+ **策略中的资源级权限** — 许多服务支持使用[ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)在策略中指定单个资源。
+ **根据标签进行授权** – 很多服务支持在策略的条件中使用资源标签。例如,您可以创建一个策略,以允许用户对跟用户拥有相同标签的组具有完全访问权限。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在《*AWS Identity and Access Management 用户指南》*中。
+ **临时凭证** – 用户可以通过允许标签编辑器操作的策略担任角色。
标签编辑器不使用服务相关角色。
有关标签编辑器如何与 AWS Identity and Access Management (IAM) 集成的更多信息,请参阅*AWS Identity and Access Management 用户指南*中的以下主题:
+ [AWS 与 IAM 配合使用的服务](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [标签编辑器的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstageditor.html)
+ [使用策略控制对 AWS 资源的访问](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)