本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定許可
為了完整利用資源群組和標籤編輯器,您可能需要額外的許可,來為資源加上標籤或查看資源的標籤索引鍵和值。這些許可分為以下類別:
+ 個別服務的許可,使得您可以為來自那些服務的資源加上標籤,並將它們包含在資源群組中。
+ 使用標籤編輯器主控台所需的許可
+ 使用 AWS Resource Groups 主控台和 API 所需的許可。
如果您是管理員,您可以透過 AWS Identity and Access Management (IAM) 服務建立政策,為使用者提供許可。您首先建立委託人,例如 IAM 角色或使用者,或使用類似 服務將外部身分與您的 AWS 環境建立關聯 AWS IAM Identity Center。然後,您可以使用使用者所需的許可來套用政策。如需建立和連接 IAM 政策的資訊,請參閱[使用政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)。
## 個別服務的許可
**重要**
本節說明如果您想要將來自其他服務主控台和 API 的資源加上標籤,以及將這些資源新增到資源群組時所需的許可。
如[資源及其群組類型](resource-groups.md#resource-groups-intro)中所述,每個資源群組代表共用一或多個標籤索引鍵或值之指定類型的資源集合。若要將標籤新增到資源,您需要資源所屬服務所需的許可。例如,若要標記 Amazon EC2 執行個體,您的 必須擁有該服務 API 中標記動作的許可,例如 [Amazon EC2 使用者指南](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI)中列出的標記動作。
為了完整利用資源群組功能,您需要其他許可,以允許您存取服務的主控台並與該處的資源互動。如需 Amazon EC2 這類政策的範例,請參閱《[Amazon EC2 使用者指南》中的在 Amazon EC2 主控台中運作的範例政策](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html)。 *Amazon EC2 *
## 資源群組和標籤編輯器的必要許可
若要使用資源群組和標籤編輯器,必須將下列許可新增至 IAM 中的使用者政策陳述式。您可以新增由 維護並保持up-to-date的 AWS任一受管政策 AWS,也可以建立和維護自己的自訂政策。
### 針對資源群組和標籤編輯器許可使用 AWS 受管政策
AWS Resource Groups 和 標籤編輯器支援下列 AWS 受管政策,您可以使用這些政策為您的使用者提供一組預先定義的許可。您可以將這些受管政策連接到任何使用者、角色或群組,就像您建立的任何其他政策一樣。
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
此政策會授予連接的 IAM 角色或使用者許可,以呼叫資源群組和標籤編輯器的唯讀操作。若要讀取資源的標籤,您還必須透過個別的政策擁有該資源的許可 (請參閱下列重要備註)。
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
此政策授予連接的 IAM 角色或使用者許可,以呼叫任何資源群組操作和標籤編輯器中的讀取和寫入標籤操作。若要讀取或寫入資源的標籤,您還必須透過個別政策取得該資源的許可 (請參閱下列重要備註)。
**重要**
先前兩個政策會授予呼叫資源群組和標籤編輯器操作並使用那些主控台的許可。對於資源群組操作,這些政策已足夠,並授予使用資源群組主控台中任何資源所需的所有許可。
不過,對於標記操作和標籤編輯器主控台,許可更為精細。您必須不僅擁有叫用 操作的許可,還擁有您嘗試存取其標籤之特定資源的適當許可。若要授予該標籤的存取權,您還必須連接下列其中一個政策:
AWS受管政策 [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) 會為每個服務的資源授予唯讀操作的許可。當新 AWS 服務可用時, AWS 會自動將此政策保持在最新狀態。
許多 服務提供服務特定的唯讀 AWS受管政策,您可用來限制只能存取該服務提供的資源。例如,Amazon EC2 提供 [AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)。
您可以建立自己的政策,僅針對您希望使用者存取的少數服務和資源,授予對非常特定唯讀操作的存取權。此政策使用「允許清單」策略或拒絕清單策略。
允許清單策略會利用預設拒絕存取的事實,直到您在政策中***明確允許***為止。因此,您可以使用類似下列範例的政策:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
或者,您可以使用「拒絕清單」策略,允許存取您明確封鎖的資源以外的所有資源。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### 手動新增資源群組和標籤編輯器許可
+ `resource-groups:*` (此許可允許所有資源群組動作。 如果您改為限制使用者可用的動作,您可以將星號取代為[特定資源群組動作](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html),或以逗號分隔的動作清單)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**注意**
當您使用標籤索引鍵或值篩選搜尋時, `resource-groups:SearchResources`許可允許標籤編輯器列出資源。
`resource-explorer:ListResources` 許可允許標籤編輯器在您搜尋資源時列出資源,而無需定義搜尋標籤。
若要在主控台中使用資源群組和標籤編輯器,您也需要執行 `resource-groups:ListGroupResources`動作的許可。此許可是列出目前區域中可用資源類型的必要許可。`resource-groups:ListGroupResources` 目前不支援搭配 使用政策條件。