本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 標籤編輯器入門
**重要**
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。我們使用標籤來為您提供帳單和管理服務。標籤不適用於私有或敏感資料。
若要一次為多個資源新增標籤,或編輯或刪除標籤,請使用標籤編輯器。利用標籤編輯器,您會搜尋要加標籤的資源,然後為搜尋結果中的資源管理標籤。
**啟動標籤編輯器**
1. 登入 [AWS 管理主控台](https://console.aws.amazon.com/console/home)。
1. 執行下列其中一個步驟:
+ 選擇**服務**。然後在**管理與控管**下,選擇**資源群組和標籤編輯器**。在左側導覽窗格中,選擇**標籤編輯器**。
+ 使用直接連結:[AWS 標籤編輯器主控台](https://console.aws.amazon.com/resource-groups/tag-editor/find-resources)。
並不是所有資源都可以套用標籤。如需有關標籤編輯器支援哪些資源的資訊,請參閱*AWS Resource Groups 《 使用者指南*》中[支援的資源類型的](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html)**標籤編輯器標記**欄。如果不支援您要標記的資源類型,請選擇主控台視窗左下角的**意見回饋**來 AWS 告知 。
如需對資源加標籤所需之許可和角色的相關資訊,請參閱[設定許可](gettingstarted-prereqs-permissions.md)。
**Topics**
+ [
# 使用標籤編輯器的先決條件
](gettingstarted-prereqs.md)
+ [
# 設定許可
](gettingstarted-prereqs-permissions.md)
# 使用標籤編輯器的先決條件
開始為資源加上標籤之前,請確定您具有作用中 AWS 帳戶 的現有資源,以及標記資源和建立群組的適當權限。
**Topics**
+ [
## 註冊 AWS 帳戶
](#sign-up-for-aws)
+ [
## 建立具有管理存取權的使用者
](#create-an-admin)
+ [
## 建立 資源
](#gettingstarted-prereqs-create)
## 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 在註冊程序完成後, 會傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
## 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 建立 資源
您的 中必須有 AWS 帳戶 要標記的資源。如需支援的資源類型詳細資訊,請參閱*AWS Resource Groups 《 使用者指南*》中[支援的資源類型](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html)下的**標籤編輯器標記**欄。
# 設定許可
若要充分利用標籤編輯器,您可能需要額外的許可來標記資源或查看資源的標籤索引鍵和值。這些許可屬於下列類別:
+ 個別服務的許可,使得您可以為來自那些服務的資源加上標籤,並將它們包含在資源群組中。
+ 使用標籤編輯器主控台所需的許可。
如果您是管理員,您可以透過 AWS Identity and Access Management (IAM) 服務建立政策,為使用者提供許可。您首先建立 IAM 角色、使用者或群組,然後套用具有其所需許可的政策。如需建立和連接 IAM 政策的資訊,請參閱[使用政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)。
## 個別服務的許可
**重要**
本節說明如果您想要**標記來自其他 AWS 服務主控台和 APIs 的資源時**所需的許可。
若要將標籤新增到資源,您需要資源所屬服務所需的許可。例如,若要標記 Amazon EC2 執行個體,您必須擁有該服務 API 中標記操作的許可,例如 [Amazon EC2 CreateTags](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html)操作。
## 使用標籤編輯器主控台所需的許可
若要使用標籤編輯器主控台列出和標記資源,必須將下列許可新增至 IAM 中的使用者政策陳述式。您可以新增由 維護並保持最新狀態的 AWS 受管政策 AWS,也可以建立和維護自己的自訂政策。
### 針對標籤編輯器許可使用 AWS 受管政策
標籤編輯器支援下列 AWS 受管政策,您可以使用這些政策為您的使用者提供一組預先定義的許可。您可以將這些受管政策連接到任何角色、使用者或群組,就像您建立的任何其他政策一樣。
**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
此政策會授予連接的 IAM 角色或使用者許可,以呼叫 AWS Resource Groups 和標籤編輯器的唯讀操作。若要讀取資源的標籤,您還必須透過單獨的政策擁有該資源的許可。在下列**重要**注意事項中進一步了解。
**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
此政策授予連接的 IAM 角色或使用者許可,以呼叫任何資源群組操作和標籤編輯器中的讀取和寫入標籤操作。若要讀取或寫入資源的標籤,您還必須透過單獨的政策擁有該資源的許可。如需進一步了解,請參閱下列**重要**注意事項。
**重要**
先前的兩個政策會授予呼叫標籤編輯器操作並使用標籤編輯器主控台的許可。不過,您不僅必須擁有叫用 操作的許可,還必須擁有您嘗試存取其標籤之特定資源的適當許可。若要授予標籤的存取權,您還必須連接下列其中一個政策:
AWS 受管政策[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)會針對每個服務的資源授予唯讀操作的許可。當新政策可供使用 AWS 服務 時, AWS 會自動將此政策保持在最新狀態。
許多 服務提供服務特定的唯讀 AWS 受管政策,您可用來限制只能存取該服務提供的資源。例如,Amazon EC2 提供 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)。
您可以建立自己的政策,僅針對您希望使用者存取的少數服務和資源授予特定唯讀操作的存取權。此政策使用允許清單策略或拒絕清單策略。
允許清單策略會利用預設拒絕存取的事實,直到您在政策中***明確允許***為止。因此,您可以使用類似下列範例的政策。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "tag:*" ],
"Resource": [
"arn:aws:ec2:us-east-1:444455556666:*",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
或者,您可以使用允許存取所有資源的拒絕清單策略,但您明確封鎖的資源除外。這需要個別的政策,適用於允許存取的相關使用者。以下範例政策接著會拒絕存取 Amazon Resource Name (ARN) 列出的特定資源。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "tag:*" ],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance:*",
"arn:aws:s3:::amzn-s3-demo-bucket3"
]
}
]
}
```
### 手動新增標籤編輯器許可
+ `tag:*` (此許可允許所有標籤編輯器動作。 如果您改為限制使用者可用的動作,您可以將星號取代為[特定動作](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html),或以逗號分隔的動作清單。)
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
+ `resource-groups:SearchResources`
+ `resource-groups:ListResourceTypes`
**注意**
當您使用標籤索引鍵或值篩選搜尋時, `resource-groups:SearchResources`許可允許標籤編輯器列出資源。
`resource-explorer:ListResources` 許可允許標籤編輯器在您搜尋資源時列出資源,而無需定義搜尋標籤。
## 授予使用標籤編輯器的許可
若要將使用 AWS Resource Groups 和標籤編輯器的政策新增至角色,請執行下列動作。
1. 開啟 [IAM 主控台至**角色**頁面](https://console.aws.amazon.com/iamv2/home#/roles)。
1. 尋找您要授予標籤編輯器許可的角色。選擇角色的名稱以開啟角色的**摘要**頁面。
1. 在 **Permissions (許可)** 標籤上,選擇 **Add permissions (新增許可)**。
1. 選擇**直接連接現有政策**。
1. 選擇**建立政策**。
1. 在 **JSON** 標籤上,貼上下列政策陳述式。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*",
"resource-groups:SearchResources",
"resource-groups:ListResourceTypes"
],
"Resource": "*"
}
]
}
```
------
**注意**
此範例政策陳述式授予僅執行標籤編輯器動作的許可。
1. 選擇 **Next: Tags** (下一步:標籤),然後選擇 **Next: Review** (下一步:檢閱)。
1. 輸入新政策的名稱和描述。例如 **AWSTaggingAccess**。
1. 選擇**建立政策**。
現在政策已儲存在 IAM 中,您可以將政策連接到其他主體,例如角色、群組或使用者。如需如何將政策新增至委託人的詳細資訊,請參閱《[IAM 使用者指南》中的新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 **
## 根據標籤的授權和存取控制
AWS 服務 支援下列項目:
+ **動作型政策** – 例如,您可以建立允許使用者執行 `GetTagKeys`或 `GetTagValues`操作的政策,但不能建立其他政策。
+ **政策中的資源層級許可** – 許多 服務支援使用 [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) 在政策中指定個別資源。
+ **以標籤為基礎的授權** – 許多服務支援在政策條件中使用資源標籤。例如,您可以建立政策,允許使用者完整存取與使用者具有相同標籤的群組。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
+ **暫時登入**資料 – 使用者可以使用允許標籤編輯器操作的政策來擔任角色。
標籤編輯器不會使用任何服務連結角色。
如需標籤編輯器如何與 AWS Identity and Access Management (IAM) 整合的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的下列主題:
+ [AWS 使用 IAM 的 服務](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [標籤編輯器的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstageditor.html)
+ [使用 政策控制對 AWS 資源的存取](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)