aws resource groups · de tags também significa que quando os usuários compartilham um grupo de...

AWS Resource GroupsGuia do usuário

AWS Resource Groups Guia do usuário

AWS Resource Groups: Guia do usuárioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsO que é o AWS Resource Groups? ...................................................................................................... 1

O que são grupos de recursos? ................................................................................................... 1Casos de uso para grupos de recursos ................................................................................. 2

AWS Resource Groups e permissões ............................................................................................ 2Recursos do AWS Resource Groups ............................................................................................. 3Como funciona a marcação ......................................................................................................... 3AWS serviços que funcionam com AWS Resource Groups ............................................................... 3Recursos compatíveis ................................................................................................................. 5

Amazon API Gateway ......................................................................................................... 6Amazon AppStream ............................................................................................................ 6AWS AppSync ................................................................................................................... 7AWS Certificate Manager ..................................................................................................... 7Autoridade de certificados privada do AWS Certificate Manager ................................................. 7AWS Cloud9 ...................................................................................................................... 7AWS CloudFormation .......................................................................................................... 8Amazon CloudFront ............................................................................................................ 8AWS CloudTrail .................................................................................................................. 8Amazon CloudWatch ........................................................................................................... 8Amazon CloudWatch Logs ................................................................................................... 9AWS CodeBuild ................................................................................................................. 9AWS CodeCommit .............................................................................................................. 9AWS CodeDeploy ............................................................................................................... 9AWS CodePipeline ............................................................................................................. 9Amazon Cognito ............................................................................................................... 10Amazon Comprehend ........................................................................................................ 10AWS Config ..................................................................................................................... 10AWS intercâmbio de dados ................................................................................................ 10AWS Data Pipeline ........................................................................................................... 11AWS Database Migration Service ........................................................................................ 11Amazon DynamoDB .......................................................................................................... 11Amazon EMR ................................................................................................................... 12Amazon ElastiCache ......................................................................................................... 12AWS Elastic Beanstalk ...................................................................................................... 12Amazon Elastic Compute Cloud (Amazon EC2) ..................................................................... 12Amazon Elastic Container Registry ...................................................................................... 13Amazon Elastic Container Service ....................................................................................... 14Amazon Elastic File System ............................................................................................... 14Elastic Load Balancing ...................................................................................................... 14Amazon Elasticsearch Service ............................................................................................ 14Eventos do Amazon CloudWatch ........................................................................................ 15Amazon FSx .................................................................................................................... 15AWS Glue ....................................................................................................................... 15AWS Identity and Access Management ................................................................................ 15Amazon Inspector ............................................................................................................. 16AWS IoT ......................................................................................................................... 16AWS IoT Analytics ............................................................................................................ 16AWS IoT Events ............................................................................................................... 16AWS IoT Greengrass ........................................................................................................ 17AWS Key Management Service .......................................................................................... 17Amazon Kinesis ................................................................................................................ 17Amazon Kinesis Data Analytics ........................................................................................... 18Amazon Kinesis Data Firehose ........................................................................................... 18AWS Lambda ................................................................................................................... 18Amazon MQ ..................................................................................................................... 18

iii


Amazon Managed Streaming for Apache Kafka ..................................................................... 19AWS OpsWorks ................................................................................................................ 19AWS Organizations ........................................................................................................... 19Amazon Quantum Ledger Database (Amazon QLDB) ............................................................. 19Amazon Redshift .............................................................................................................. 20Amazon Relational Database Service (Amazon RDS) ............................................................. 20AWS Resource Access Manager ......................................................................................... 20AWS Resource Groups ...................................................................................................... 21Robomaker doAWS ........................................................................................................... 21Amazon Route 53 ............................................................................................................. 21Resolvedor do Amazon Route 53 ........................................................................................ 22Amazon S3 Glacier ........................................................................................................... 22Amazon SageMaker .......................................................................................................... 22AWS Secrets Manager ...................................................................................................... 23AWS Service Catalog ........................................................................................................ 23Amazon Simple Notification Service ..................................................................................... 23Amazon Simple Queue Service ........................................................................................... 23Amazon Simple Storage Service (Amazon S3) ...................................................................... 23AWS Step Functions ......................................................................................................... 24AWS Storage Gateway ...................................................................................................... 24AWS Systems Manager ..................................................................................................... 24Amazon WorkSpaces ........................................................................................................ 24

Conceitos básicos ..................................................................................................................... 25Pré-requisitos ................................................................................................................... 25

Criar grupos ............................................................................................................................. 29Criar uma consulta e um grupo (console) ............................................................................. 30Criar uma consulta e um grupo (AWS CLI) ........................................................................... 33

Atualizar grupos ........................................................................................................................ 35Atualizar grupos (console) .................................................................................................. 36Atualizar grupos (AWS CLI) ................................................................................................ 39

Excluir grupos .......................................................................................................................... 41Tag Editor ................................................................................................................................ 41

Encontrar recursos para marcar .......................................................................................... 42Gerenciar tags .................................................................................................................. 47Solucionar problemas de alterações de tag ........................................................................... 54

Políticas de tag ........................................................................................................................ 54Pré-requisitos e permissões ............................................................................................... 55Avaliar a conformidade de uma conta .................................................................................. 57Avaliar a conformidade em toda a organização ..................................................................... 59

Segurança ............................................................................................................................... 60Proteção de dados ............................................................................................................ 61Identity and Access Management ........................................................................................ 62Registro em log e monitoramento ........................................................................................ 73Validação de conformidade ................................................................................................ 76Resiliência ....................................................................................................................... 76Segurança da infraestrutura ............................................................................................... 77Melhores práticas de segurança .......................................................................................... 77

Referência ............................................................................................................................... 78Políticas gerenciadas da AWS disponíveis para uso com o AWS Resource Groups ..................... 78

Histórico do documento ..................................................................................................................... 80Atualizações anteriores .............................................................................................................. 84

AWS Glossary .................................................................................................................................. 85.................................................................................................................................................. lxxxvi

iv

AWS Resource Groups Guia do usuárioO que são grupos de recursos?

O que é o AWS Resource Groups?É possível usar grupos de recursos para organizar seus recursos da AWS. Os grupos de recursos facilitamo gerenciamento e a automatização de tarefas em grandes números de recursos de uma vez. Este guiamostra como criar e gerenciar grupos de recursos no AWS Resource Groups. As tarefas que você podeexecutar em um recurso variam de acordo com o serviço da AWS que você está usando. Para obter umalista dos serviços compatíveis com o AWS Resource Groups e uma breve descrição do que cada serviçopermite que você faça com um grupo de recursos, consulte AWS serviços que funcionam com AWSResource Groups (p. 3).

Você pode acessar o Grupos de recursos usando qualquer um dos seguintes pontos de entrada.

• Em Console de gerenciamento da AWS, na barra de navegação superior, escolha Services (Serviços).Em seguida, em Management & governance (Gerenciamento e governança), escolha Resource Groups& Tag Editor (Grupos de recursos e editor de tags).

Link direto: Console do AWS Resource Groups.• No console do AWS Systems Manager, na entrada do painel de navegação à esquerda para o Grupos

de recursos.• Usando a API do Grupos de recursos, em comandos da AWS CLI ou em linguagens de programação do

AWS SDK.

Para trabalhar com grupos de recursos na página inicial do Console de gerenciamento da AWS

1. Faça login no Console de gerenciamento da AWS.2. Na barra de navegação, escolha Services (Serviços).3. Em Management & governance (Gerenciamento e governança), escolha Resource Groups & Tag

Editor (Grupos de recursos e editor de tags).4. No painel de navegação à esquerda, escolha Saved Resource Groups (Grupos de recursos salvos)

para trabalhar com um grupo existente ou Create a Group (Criar um grupo) para criar um novo.

O que são grupos de recursos?Na AWS, um recurso é uma entidade com a qual você pode trabalhar. Os exemplos incluem uma instânciado Amazon EC2, uma pilha do AWS CloudFormation ou um bucket do Amazon S3. Se você trabalhar comvários recursos, talvez seja útil gerenciá-los como um grupo, em vez de alternar de um serviço da AWSpara outro a cada tarefa. Se você gerenciar grandes números de recursos relacionados, como instânciasdo EC2 que compõem uma camada de aplicativo, provavelmente, precisará executar ações em massanesses recursos de uma vez. Os exemplos de ações em massa incluem:

• Aplicação de atualizações ou patches de segurança.• Atualização de aplicativos.• Abertura ou fechamento de portas para tráfego de rede.• Coleta de dados específicos de monitoramento e de log em sua frota de instâncias.

Um grupo de recursos é um conjunto de recursos da AWS que estão todos na mesma região da AWS eque correspondem aos critérios fornecidos em uma consulta. No Grupos de recursos, há dois tipos deconsultas a partir dos quais é possível criar um grupo. Os dois tipos de consulta incluem recursos que sãoespecificados no formato AWS::service::resource.

1

https://console.aws.amazon.com/console/home

https://console.aws.amazon.com/resource-groups

AWS Resource Groups Guia do usuárioCasos de uso para grupos de recursos

• Baseadas em tags

As consultas baseadas em tags incluem listas de recursos e tags. Tags são chaves que ajudam aidentificar e classificar os recursos em sua organização. Opcionalmente, as tags incluem valores parachaves.

Important

Não armazene informações de identificação pessoal (PII) nem outras informações confidenciaisou sigilosas em tags. Usamos tags para fornecer serviços de faturamento e administração. Astags não devem ser usadas para dados privados ou confidenciais.

• AWS CloudFormation Baseadas em pilha do

Em uma consulta baseada em pilha do AWS CloudFormation, você escolhe uma pilha do AWSCloudFormation em sua conta na região atual e escolhe os tipos de recurso na pilha que você desejaincluir no grupo. Sua consulta pode ser baseada em apenas uma pilha do AWS CloudFormation.

Os grupos de recursos podem ser aninhados. Um grupo de recursos pode conter grupos de recursosexistentes na mesma região.

Casos de uso para grupos de recursosPor padrão, o Console de gerenciamento da AWS é organizado por serviço da AWS. Mas com o Gruposde recursos, você pode criar um console personalizado que organiza e consolida informações com baseem critérios especificados em tags ou nos recursos em uma pilha do AWS CloudFormation. A lista a seguirdescreve alguns dos casos em que o agrupamento de recursos pode ajudar a organizar seus recursos.

• Um aplicativo que contém fases diferentes, como desenvolvimento, preparação e produção.• Projetos gerenciados por vários departamentos ou indivíduos.• Um conjunto de recursos da AWS que você usa em conjunto para um projeto comum ou que deseja

gerenciar ou monitorar como um grupo.• Um conjunto de recursos relacionados a aplicativos que são executados em uma plataforma específica,

como Android ou iOS.

Por exemplo, digamos que você esteja desenvolvendo um aplicativo web e mantendo conjuntos separadosde recursos para os estágios alfa, beta e de lançamento. Cada versão é executada no Amazon EC2com um volume de armazenamento do Amazon Elastic Block Store. Use o Elastic Load Balancingpara gerenciar o tráfego, e o Route 53 para gerenciar seu domínio. Sem o Grupos de recursos, vocêpode precisar acessar vários consoles apenas para verificar o status de seus serviços ou modificar asconfigurações de uma versão do seu aplicativo.

Com o Grupos de recursos, você usa uma única página para visualizar e gerenciar seus recursos. Porexemplo, digamos que você use a ferramenta para criar um grupo de recursos para cada versão — alfa,beta e de lançamento — de seu aplicativo. Para verificar seus recursos na versão alfa do aplicativo, abrao grupo de recursos. Depois, visualize as informações consolidadas em sua página do grupo de recursos.Para modificar um recurso específico, escolha os links do recurso na página do grupo de recursos paraacessar o console do serviço com as configurações de que você precisa.

AWS Resource Groups e permissõesAs permissões do recurso Grupos de recursos estão no nível da conta. Desde que os usuários que estãocompartilhando sua conta tenham as permissões corretas do IAM, eles poderão trabalhar com os gruposde recursos que você criar. Para obter informações sobre a criação de usuários do IAM, consulte Criaçãode um usuário do IAM no Guia do usuário do IAM.

2

https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_SettingUpUser.html

AWS Resource Groups Guia do usuárioRecursos do AWS Resource Groups

As tags são as propriedades de um recurso, de modo que são compartilhadas por toda a sua conta. Osusuários em um departamento ou grupo especializado podem extrair de um vocabulário comum (tags)para criar grupos de recursos significativos para suas funções e responsabilidades. Ter um grupo comumde tags também significa que quando os usuários compartilham um grupo de recursos, eles não precisamse preocupar com a falta ou conflitos de informações de tags.

Recursos do AWS Resource GroupsNo Grupos de recursos, o único recurso disponível é um grupo. Os grupos têm um nome de recurso daAmazon (ARN) exclusivo associado a eles. Para obter mais informações sobre o ARNs, consulte Nomesde recurso da Amazon (ARN) e namespaces de serviço da AWS na Referência geral da Amazon WebServices.

Tipo derecurso

Formato do nome de recurso da Amazon (ARN)

Grupo derecursos

arn:aws:resource-groups:region:account:group/group-name

Como funciona a marcaçãoAs tags são pares de chave e valor que atuam como metadados para organizar seus recursos daAWS. Com a maioria dos recursos da AWS, você tem a opção de adicionar tags ao criar o recurso,seja uma instância do Amazon EC2, um bucket do Amazon S3 ou outros recursos. Contudo, vocêtambém pode adicionar tags a vários recursos com suporte de uma só vez usando o Tag Editor. Vocêcria uma consulta de recursos de vários tipos e adiciona, remove ou substitui as tags dos recursos nosresultados da pesquisa. As consultas atribuem um operador AND às tags, de forma que qualquer recursoque corresponda aos tipos de recurso especificados e todas as tags especificadas seja retornado pelaconsulta.

Important


Para obter mais informações sobre marcação, consulte Tag Editor (p. 41) neste guia. É possível marcarrecursos compatíveis (p. 5) usando o Tag Editor, e alguns recursos adicionais usando a funcionalidadede marcação no console de serviço em que você cria e gerencia o recurso.

AWS serviços que funcionam com AWS ResourceGroups

Pode usar o seguinte AWS serviços com AWS Resource Groups.

Serviço da AWS Utilização com Grupos de recursos

AWS CloudFormation – Criar grupos de recursosem AWS CloudFormation utilizando um modelo depilha.

Fornecimento e organização AWS ao mesmotempo. Organizar recursos por tags. Organizerecursos de outra pilha. Reúna perspetivas sobreo seu AWS recursos em grupos de recursos

3

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html


https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/

AWS Resource Groups Guia do usuárioAWS serviços que funcionam com AWS Resource Groups

Serviço da AWS Utilização com Grupos de recursosutilizando Amazon CloudWatch ou realizar açõesoperacionais usando AWS Systems Manager.

Para mais informações, consulte Referência detipo de recurso de Grupos de Recursos na AWSResource Groups Guia do Utilizador.

Amazon CloudWatch – Permita a monitorizaçãoem tempo real do seu AWS e as aplicações queexecuta em AWS.

Foque a sua visualização para apresentar métricase alarmes de um único grupo de recursos.

Para obter mais informações, consulte Foco emmétricas e alarmes num grupo de recursos na Guiado usuário do Amazon CloudWatch.

Amazon CloudWatch perspetivas da aplicação– Detete problemas comuns com as suasaplicações.NET e SQL Server.

Controle os recursos da aplicação.NET e SQLServer que pertencem a um grupo de recursos.

Para obter mais informações, consulteComponentes de aplicação suportados na Guia dousuário do Amazon CloudWatch.

Amazon DynamoDB grupos de tabela – Organize oseu DynamoDB em grupos lógicos para que possagerir mais facilmente os seus recursos.

Criar, editar e eliminar grupos de DynamoDBtabelas do DynamoDB Acção menu.

Para obter mais informações, consulte o Guia dodesenvolvedor do Amazon DynamoDB.

Amazon EC2 anfitriões dedicados – Utilize aslicenças de software existentes por tomada, pornúcleo ou por VM, incluindo Windows Server,Microsoft SQL Server, SUSE e Linux EnterpriseServer.

Lançamento Amazon EC2 instâncias em gruposde recursos do anfitrião e maximizar a utilização deHosts Dedicados.

Para mais informações, consulte Trabalharcom anfitriões dedicados na Guia do usuário doAmazon EC2 para instâncias do Linux.

Amazon EC2 reservas de capacidade – Reservarcapacidade para o seu Amazon EC2 instânciasa serem utilizadas quando é necessário. Podeespecificar atributos para a reserva de capacidadepara que só funcione com Amazon EC2 instânciasque são iniciadas com atributos correspondentes.

Inicie o seu Amazon EC2 instâncias em gruposde recursos que contêm uma ou mais reservasde capacidade. Se o grupo não tiver uma reservade capacidade com atributos correspondentese capacidade disponível para uma instânciasolicitada, a instância é executada como umainstância a pedido. Se mais tarde adicionar umareserva de capacidade correspondente ao grupo-alvo, a instância é automaticamente correspondidae movida para a capacidade reservada.

Para obter mais informações, consulte Trabalharcom grupos de reservas de capacidade na Guia dousuário do Amazon EC2 para instâncias do Linux.

AWS License Manager – Simplifique o processo detrazer licenças de fornecedores de software para anuvem.

Configurar um grupo de recursos anfitrião paraativar License Manager para gerir os seusAnfitriões Dedicados.

Para obter mais informações, consulte Grupos derecursos de anfitrião em License Manager na Guiado usuário do License Manager.

4

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_ResourceGroups.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_ResourceGroups.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Automatic_Dashboards_Resource_Group.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Automatic_Dashboards_Resource_Group.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-what-is.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/appinsights-what-is.html#appinsights-components

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-overview.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html



/license-manager/latest/userguide/license-manager.html

/license-manager/latest/userguide/host-resource-groups.html

/license-manager/latest/userguide/host-resource-groups.html

AWS Resource Groups Guia do usuárioRecursos compatíveis

Serviço da AWS Utilização com Grupos de recursos

AWS Resource Access Manager – compartilharrecursos especificados da AWS que você possuicom outras contas.

Partilhar grupos de recursos do anfitrião utilizandoAWS RAM.

Para mais informações, consulte Recursospartilháveis na Guia do usuário do AWS RAM.

AWS Systems Manager – permitir visibilidade econtrole dos recursos da AWS.

Reúna perceções operacionais e tome açõesem massa sobre grupos de recursos. Na janelaAWS Systems Manager consola, o Grupos deRecursos AWS página mostra os dados deoperações para o grupo especificado em cincoseparadores: Pormenores, Configuração, Trilhoda Nuvem, Monitorizaçãoe ItensOps. Pode utilizara informação nestes separadores para o ajudara determinar que recursos num grupo estão emconformidade e a funcionar correctamente e querecursos requerem acção. Para mais informações,consulte Visualizar dados de operações paragrupos de recursos AWS na Guia do usuário doAWS Systems Manager.

Para obter mais informações, consulte AWSResource Groups no Guia do usuário do AWSSystems Manager.

Recursos que você pode usar com o AWSResource Groups.

Você pode usar o Console de gerenciamento da AWS ou a AWS CLI para adicionar tags a muitos recursosda AWS. Este tópico descreve os recursos que você pode consultar e agrupar em grupos de recursosusando o AWS Resource Groups e os recursos que você pode marcar usando o Tag Editor.

Important

Um grupo de recursos baseado em uma consulta de All supported resource types (Todos ostipos de recurso compatíveis) pode adicionar membros automaticamente ao longo do tempo, àmedida que novos recursos passam a ser compatíveis com o Grupos de recursos. Ao executarautomações ou outras tarefas em massa em um grupo de recursos existente baseado em Allsupported resource types (Todos os tipos de recurso compatíveis), lembre-se de que as açõespodem ser executadas em muito mais recursos do que os que estavam no grupo quando você ocriou. Isso também pode significar que as automações ou as tarefas que você criou para outrosrecursos são aplicadas a recursos não intencionais ou a recursos nos quais as tarefas não podemser concluídas.

5

https://docs.aws.amazon.com/ram/lastest/userguide/

https://docs.aws.amazon.com/ram/lastest/userguide/shareable.html#shareable-arg

https://docs.aws.amazon.com/ram/lastest/userguide/shareable.html#shareable-arg

https://docs.aws.amazon.com/systems-manager/latest/userguidewhat-is-systems-manager.html

https://docs.aws.amazon.com/systems-manager/latest/userguideviewing-operations-data.html


https://docs.aws.amazon.com/systems-manager/latest/userguidesystems-manager-resource-groups

https://docs.aws.amazon.com/systems-manager/latest/userguidesystems-manager-resource-groups

AWS Resource Groups Guia do usuárioAmazon API Gateway

As tabelas a seguir listam quais recursos são compatíveis com grupos baseados em tags, marcação noTag Editor e grupos baseados em pilha do AWS CloudFormation.

Amazon API Gateway

Resources Tag EditorTagging

Tag-basedGroups

AWSCloudFormationStack-basedGroups

AWS::ApiGateway::Account No No Yes

AWS::ApiGateway::ApiKey No No Yes

AWS::ApiGateway::DomainName No No Yes

AWS::ApiGateway::RestApi No Yes Yes

AWS::ApiGateway::Stage No Yes No

AWS::ApiGateway::UsagePlan No No Yes

Amazon AppStream


Tag-basedGroups


AWS::AppStream::Fleet Yes Yes Yes

AWS::AppStream::ImageBuilder Yes Yes Yes

AWS::AppStream::Stack Yes Yes Yes

6

AWS Resource Groups Guia do usuárioAWS AppSync

AWS AppSync


Tag-basedGroups


AWS::AppSync::DataSource No No Yes

AWS::AppSync::GraphQLApi No No Yes

AWS Certificate Manager


Tag-basedGroups


AWS::CertificateManager::Certificate Yes Yes Yes

Autoridade de certificados privada do AWS CertificateManager


Tag-basedGroups


AWS::ACMPCA::CertificateAuthority No Yes No

AWS Cloud9


Tag-basedGroups


o AWS::Cloud9::Environment Yes Yes No

7

AWS Resource Groups Guia do usuárioAWS CloudFormation

AWS CloudFormation


Tag-basedGroups


AWS::CloudFormation::Stack Yes Yes Yes

Amazon CloudFront


Tag-basedGroups


AWS::CloudFront::Distribution Yes¹ Yes² Yes²

AWS::CloudFront::StreamingDistribution Yes¹ Yes² Yes²

¹ This is a resource for a global service that is hosted in the US East (N. Virginia) Region. To use Tag Editorto create or modify tags for this resource type, you must include us-east-1 from the Select regions listunder Find resources to tag in the Tag Editor console.

² This is a resource for a global service that is hosted in the US East (N. Virginia) Region. BecauseResource Groups are maintained separately for each region, you must switch your AWS console to theRegion that contains the resources you want to include in the group. To create a resource group thatcontains a global resource, you must configure your AWS Console to US East (N. Virginia) us-east-1 usingthe Region selector in the upper-right corner of the AWS console.

AWS CloudTrail


Tag-basedGroups


AWS::CloudTrail::Trail Yes Yes Yes

Amazon CloudWatch


Tag-basedGroups


AWS::CloudWatch::Alarm Yes Yes Yes

AWS::CloudWatch::Dashboard No No Yes

8

AWS Resource Groups Guia do usuárioAmazon CloudWatch Logs

Amazon CloudWatch Logs


Tag-basedGroups


AWS::Logs::LogGroup No Yes Yes

AWS CodeBuild


Tag-basedGroups


AWS::CodeBuild::Project Yes Yes No

AWS CodeCommit


Tag-basedGroups


AWS::CodeCommit::Repository Yes Yes No

AWS CodeDeploy


Tag-basedGroups


AWS::CodeDeploy::Application No No Yes

AWS::CodeDeploy::DeploymentConfig No No Yes

AWS CodePipeline


Tag-basedGroups


AWS::CodePipeline::CustomActionType No Yes No

9

AWS Resource Groups Guia do usuárioAmazon Cognito


Tag-basedGroups


AWS::CodePipeline::Pipeline Yes Yes Yes

AWS::CodePipeline::Webhook Yes Yes Yes

Amazon Cognito


Tag-basedGroups


AWS::Cognito::IdentityPool Yes Yes Yes

AWS::Cognito::UserPool Yes Yes Yes

Amazon Comprehend


Tag-basedGroups


o AWS::Comprehend::DocumentClassifier Yes Yes No

o AWS::Comprehend::EntityRecognizer Yes Yes No

AWS Config


Tag-basedGroups


AWS::Config::ConfigRule Yes Yes No

AWS intercâmbio de dados


Tag-basedGroups


o AWS::DataExchange::DataSet Yes Yes No

10

AWS Resource Groups Guia do usuárioAWS Data Pipeline


Tag-basedGroups


o AWS::DataExchange::Revision No Yes No

AWS Data Pipeline


Tag-basedGroups


AWS::DataPipeline::Pipeline Yes Yes Yes

AWS Database Migration Service


Tag-basedGroups


AWS::DMS::Certificate No Yes No

AWS::DMS::Endpoint No Yes Yes

AWS::DMS::EventSubscription No Yes No

AWS::DMS::ReplicationInstance No Yes Yes

AWS::DMS::ReplicationSubnetGroup No Yes No

AWS::DMS::ReplicationTask No Yes No

Amazon DynamoDB


Tag-basedGroups


AWS::DynamoDB::Table Yes Yes Yes

11

AWS Resource Groups Guia do usuárioAmazon EMR

Amazon EMR


Tag-basedGroups


AWS::EMR::Cluster Yes Yes Yes

Amazon ElastiCache


Tag-basedGroups


AWS::ElastiCache::CacheCluster Yes Yes Yes

AWS::ElastiCache::Snapshot Yes Yes No

AWS Elastic Beanstalk


Tag-basedGroups


AWS::ElasticBeanstalk::Application Yes Yes No

AWS::ElasticBeanstalk::ApplicationVersion No Yes No

AWS::ElasticBeanstalk::ConfigurationTemplate No Yes No

AWS::ElasticBeanstalk::Environment No Yes No

Amazon Elastic Compute Cloud (Amazon EC2)


Tag-basedGroups


AWS::EC2::CapacityReservation No Yes No

AWS::EC2::CustomerGateway Yes Yes Yes

AWS::EC2::DHCPOptions Yes Yes Yes

AWS::EC2::EIP Yes Yes No

12

AWS Resource Groups Guia do usuárioAmazon Elastic Container Registry


Tag-basedGroups


AWS::EC2::Host No Yes No

AWS::EC2::Image Yes Yes No

AWS::EC2::Instance Yes Yes Yes

AWS::EC2::InternetGateway Yes Yes Yes

AWS::EC2::LaunchTemplate No Yes Yes

AWS::EC2::NatGateway No Yes Yes

AWS::EC2::NetworkAcl Yes Yes Yes

AWS::EC2::NetworkInterface Yes Yes Yes

AWS::EC2::ReservedInstance Yes Yes No

AWS::EC2::RouteTable Yes Yes Yes

AWS::EC2::SecurityGroup Yes Yes Yes

AWS::EC2::Snapshot Yes Yes No

AWS::EC2::SpotInstanceRequest Yes Yes No

AWS::EC2::Subnet Yes Yes Yes

AWS::EC2::TransitGateway No Yes No

AWS::EC2::TransitGatewayRouteTable No Yes No

AWS::EC2::Volume Yes Yes Yes

AWS::EC2::VPC Yes Yes Yes

AWS::EC2::VPCPeeringConnection No Yes Yes

AWS::EC2::VPNConnection Yes Yes Yes

AWS::EC2::VPNGateway Yes Yes Yes

Amazon Elastic Container Registry


Tag-basedGroups


AWS::ECR::Repository No Yes No

13

AWS Resource Groups Guia do usuárioAmazon Elastic Container Service

Amazon Elastic Container Service


Tag-basedGroups


AWS::ECS::Cluster Yes Yes No

AWS::ECS::ContainerInstance No Yes No

AWS::ECS::Service No Yes No

AWS::ECS::Task No Yes No

AWS::ECS::TaskDefinition Yes Yes No

Amazon Elastic File System


Tag-basedGroups


AWS::EFS::FileSystem Yes Yes Yes

Elastic Load Balancing


Tag-basedGroups


AWS::ElasticLoadBalancing::LoadBalancer Yes Yes Yes

AWS::ElasticLoadBalancingV2::LoadBalancer Yes Yes Yes

AWS::ElasticLoadBalancingV2::TargetGroup Yes Yes Yes

Amazon Elasticsearch Service


Tag-basedGroups


AWS::Elasticsearch::Domain Yes Yes Yes

14

AWS Resource Groups Guia do usuárioEventos do Amazon CloudWatch

Eventos do Amazon CloudWatch


Tag-basedGroups


AWS::Events::Rule Yes Yes Yes

Amazon FSx


Tag-basedGroups


AWS::FSx::FileSystem Yes Yes No

AWS Glue


Tag-basedGroups


AWS::Glue::Crawler Yes Yes No

AWS::Glue::Database No No Yes

AWS::Glue::Job Yes Yes No

AWS::Glue::Trigger Yes Yes No

AWS Identity and Access Management


Tag-basedGroups


AWS::IAM::Role No No Yes

15

AWS Resource Groups Guia do usuárioAmazon Inspector

Amazon Inspector


Tag-basedGroups


AWS::Inspector::AssessmentTemplate No Yes Yes

AWS IoT


Tag-basedGroups


AWS::IoT::TopicRule No Yes Yes

AWS IoT Analytics


Tag-basedGroups


AWS::IoTAnalytics::Channel No Yes No

AWS::IoTAnalytics::Dataset Yes Yes No

AWS::IoTAnalytics::Datastore No Yes No

AWS::IoTAnalytics::Pipeline No Yes No

AWS IoT Events


Tag-basedGroups


AWS::IoTEvents::DetectorModel Yes Yes Yes

AWS::IoTEvents::Input Yes Yes Yes

16

AWS Resource Groups Guia do usuárioAWS IoT Greengrass

AWS IoT Greengrass


Tag-basedGroups


AWS::Greengrass::ConnectorDefinition Yes Yes No

AWS::Greengrass::CoreDefinition Yes Yes No

AWS::Greengrass::DeviceDefinition Yes Yes No

AWS::Greengrass::FunctionDefinition Yes Yes No

AWS::Greengrass::Group Yes Yes No

AWS::Greengrass::LoggerDefinition Yes Yes No

AWS::Greengrass::ResourceDefinition Yes Yes No

AWS::Greengrass::SubscriptionDefinition Yes Yes No

AWS Key Management Service


Tag-basedGroups


AWS::KMS::Alias No No Yes

AWS::KMS::Key Yes Yes Yes

Amazon Kinesis


Tag-basedGroups


AWS::Kinesis::Stream Yes Yes Yes

17

AWS Resource Groups Guia do usuárioAmazon Kinesis Data Analytics

Amazon Kinesis Data Analytics


Tag-basedGroups


AWS::KinesisAnalytics::Application Yes Yes Yes

AWS::KinesisAnalyticsV2::Application No No Yes

Amazon Kinesis Data Firehose


Tag-basedGroups


AWS::KinesisFirehose::DeliveryStream No Yes Yes

AWS Lambda


Tag-basedGroups


AWS::Lambda::Alias No No Yes

AWS::Lambda::EventSourceMapping No No Yes

AWS::Lambda::Function Yes Yes Yes

AWS::Lambda::LayerVersion No No Yes

AWS::Lambda::Version No No Yes

Amazon MQ


Tag-basedGroups


AWS::AmazonMQ::Broker Yes Yes No

AWS::AmazonMQ::Configuration Yes Yes No

18

AWS Resource Groups Guia do usuárioAmazon Managed Streaming for Apache Kafka

Amazon Managed Streaming for Apache Kafka


Tag-basedGroups


AWS::Kafka::Cluster Yes Yes No

AWS OpsWorks


Tag-basedGroups


AWS::OpsWorks::Instance No Yes Yes

AWS::OpsWorks::Layer No Yes Yes

AWS::OpsWorks::Stack No Yes Yes

AWS Organizations


Tag-basedGroups


Contas de AWS::Organizations Yes Yes No

Amazon Quantum Ledger Database (Amazon QLDB)


Tag-basedGroups


AWS::QLDB::Ledger Yes Yes Yes

19

AWS Resource Groups Guia do usuárioAmazon Redshift

Amazon Redshift


Tag-basedGroups


AWS::Redshift::Cluster Yes Yes Yes

AWS::Redshift::ClusterParameterGroup Yes Yes Yes

AWS::Redshift::ClusterSecurityGroup No Yes Yes

AWS::Redshift::ClusterSubnetGroup Yes Yes Yes

AWS::Redshift::HSMClientCertificate Yes Yes No

Amazon Relational Database Service (Amazon RDS)


Tag-basedGroups


AWS::RDS::DBCluster Yes Yes Yes

AWS::RDS::DBClusterParameterGroup Yes Yes Yes

AWS::RDS::DBClusterSnapshot Yes Yes No

AWS::RDS::DBInstance Yes Yes Yes

AWS::RDS::DBParameterGroup Yes Yes Yes

AWS::RDS::DBSecurityGroup Yes Yes Yes

AWS::RDS::DBSnapshot Yes Yes No

AWS::RDS::DBSubnetGroup Yes Yes Yes

AWS::RDS::EventSubscription Yes Yes No

AWS::RDS::OptionGroup Yes Yes No

AWS::RDS::ReservedDBInstance Yes Yes No

AWS Resource Access Manager


Tag-basedGroups


AWS::RAM::ResourceShare Yes Yes No

20

AWS Resource Groups Guia do usuárioAWS Resource Groups

AWS Resource Groups


Tag-basedGroups


AWS::ResourceGroups::Group Yes Yes No

Robomaker doAWS


Tag-basedGroups


AWS::RoboMaker::DeploymentJob Yes Yes No

AWS::RoboMaker::Fleet Yes Yes No

AWS::RoboMaker::Robot Yes Yes No

AWS::RoboMaker::RobotApplication Yes Yes No

AWS::RoboMaker::SimulationApplication Yes Yes No

AWS::RoboMaker::SimulationJob Yes Yes No

Amazon Route 53


Tag-basedGroups


AWS::Route53::Domain Yes¹ Yes² No

AWS::Route53::HealthCheck Yes¹ Yes² Yes²

AWS::Route53::HostedZone Yes¹ Yes² Yes²



21

AWS Resource Groups Guia do usuárioResolvedor do Amazon Route 53

Resolvedor do Amazon Route 53Resources Tag Editor

TaggingTag-basedGroups


AWS::Route53Resolver::ResolverEndpoint Yes¹ Yes² No

AWS::Route53Resolver::ResolverRule Yes¹ Yes² No



Amazon S3 GlacierResources Tag Editor



AWS::Glacier::Vault Yes Yes No

Amazon SageMakerResources Tag Editor



AWS::SageMaker::Endpoint No Yes Yes

AWS::SageMaker::EndpointConfig No Yes Yes

AWS::SageMaker::HyperParameterTuningJob No Yes No

o AWS::SageMaker::LabelingJob No Yes No

AWS::SageMaker::Model No Yes Yes

AWS::SageMaker::NotebookInstance Yes Yes Yes

AWS::SageMaker::TrainingJob No Yes No

AWS::SageMaker::TransformJob No Yes No

AWS::SageMaker::Workteam No Yes No

22

AWS Resource Groups Guia do usuárioAWS Secrets Manager

AWS Secrets Manager


Tag-basedGroups


AWS::SecretsManager::Secret Yes Yes Yes

AWS Service Catalog


Tag-basedGroups


AWS::ServiceCatalog::CloudFormationProduct No Yes Yes

AWS::ServiceCatalog::Portfolio No Yes Yes

Amazon Simple Notification Service


Tag-basedGroups


AWS::SNS::Topic Yes Yes Yes

Amazon Simple Queue Service


Tag-basedGroups


AWS::SQS::Queue Yes Yes Yes

Amazon Simple Storage Service (Amazon S3)


Tag-basedGroups


AWS::S3::Bucket Yes Yes Yes

23

AWS Resource Groups Guia do usuárioAWS Step Functions

AWS Step Functions


Tag-basedGroups


AWS::StepFunctions::Activity Yes Yes Yes

AWS::StepFunctions::StateMachine Yes Yes Yes

AWS Storage Gateway


Tag-basedGroups


AWS::StorageGateway::Gateway Yes Yes No

AWS::StorageGateway::Volume No Yes No

AWS Systems Manager


Tag-basedGroups


AWS::SSM::Document No Yes Yes

AWS::SSM::MaintenanceWindow No Yes No

AWS::SSM::ManagedInstance No Yes No

AWS::SSM::Parameter Yes Yes Yes

AWS::SSM::PatchBaseline No Yes Yes

Amazon WorkSpaces


Tag-basedGroups


AWS::WorkSpaces::Workspace Yes Yes Yes

24

AWS Resource Groups Guia do usuárioConceitos básicos

Conceitos básicos do AWS Resource GroupsNa AWS, um recurso é uma entidade com a qual você pode trabalhar. Os exemplos incluem uma instânciado Amazon EC2, um bucket do Amazon S3 ou uma zona hospedada do Amazon Route 53. Se vocêtrabalhar com vários recursos, talvez seja útil gerenciá-los como um grupo, em vez de alternar de umserviço da AWS para outro a cada tarefa.

Esta seção mostra como começar a usar o AWS Resource Groups. Primeiro, organize os recursos doAWS marcando-os no Tag Editor. Depois, crie consultas no Grupos de recursos que incluam os tipos derecurso que você deseja incluir em um grupo, e as tags que você aplicou aos recursos.

Depois de criar grupos de recursos no Grupos de recursos, use as ferramentas do AWS SystemsManager, como Automation, para simplificar as tarefas de gerenciamento em seus grupos de recursos.

Para obter mais informações sobre os conceitos básicos dos recursos e das ferramentas do AWS SystemsManager, consulte o Guia do usuário do AWS Systems Manager.

Tópicos• Pré-requisitos para trabalhar com oAWS Resource Groups (p. 25)

Pré-requisitos para trabalhar com oAWS ResourceGroupsAntes de começar a trabalhar com grupos de recursos, certifique-se de que você tem uma conta ativa daAWS com recursos existentes e direitos apropriados para marcar recursos e criar grupos.

Cadastre-se no AWSSe você ainda não tiver uma conta da AWS, use o procedimento a seguir para criar uma.

Para cadastrar-se na AWS

1. Abra https://aws.amazon.com/ e escolha Create an AWS Account.2. Siga as instruções online.

Criar recursosVocê pode criar um grupo de recursos vazio, mas não poderá executar nenhuma tarefa nos membros dogrupo de recursos até que haja recursos no grupo. Para obter mais informações sobre os tipos de recursocom suporte, consulte Recursos que você pode usar com o AWS Resource Groups. (p. 5).

Configurar permissõesPara aproveitar ao máximo Grupos de recursos e Tag Editor, você pode precisar de permissões adicionaispara marcar recursos ou para ver as chaves e valores de tag de um recurso. Essas permissões seencaixam nas seguintes categorias:

• Permissões para serviços individuais, para que você possa marcar recursos desses serviços e incluí-losem grupos de recursos.

• Permissões que são necessárias para usar o console doTag Editor• Permissões que são necessárias para usar o novo console e a API do AWS Resource Groups.

25

https://docs.aws.amazon.com/systems-manager/latest/userguidewhat-is-systems-manager.html

https://aws.amazon.com/

AWS Resource Groups Guia do usuárioPré-requisitos

Se você for um administrador, poderá fornecer permissões para seus usuários criando políticas por meiodo serviço AWS Identity and Access Management (IAM). Primeiro, crie usuários ou grupos do IAM eaplique as políticas com as permissões das quais eles precisam. Para obter informações sobre como criare anexar políticas do IAM, consulte Trabalhar com políticas.

Permissões para serviços individuaisImportant

Esta seção descreve as permissões necessárias para marcar recursos de outros consoles deserviço e do APIs, além de adicionar esses recursos a grupos de recursos.

Conforme descrito em O que são grupos de recursos? (p. 1), cada grupo de recursos representa umconjunto de recursos de tipos especificados que compartilham uma ou mais chaves ou valores de tag.Para adicionar tags a um recurso, você precisa das permissões necessárias para o serviço ao qual orecurso pertence. Por exemplo, para marcar instâncias do Amazon EC2, você precisa ter permissões paraas ações de marcação na API daquele serviço, como as listadas no Guia do usuário do Amazon EC2.

Para aproveitar as funções do recurso Grupos de recursos ao máximo, você precisa de outras permissõesque concedem acesso a um console do serviço e interagir com os recursos ali. Para obter exemplosdessas políticas para o Amazon EC2, consulte Exemplos de políticas para trabalhar no AmazonEC2console do no Guia do usuário do Amazon EC2 para instâncias do Linux.

Permissões obrigatórias para o Grupos de recursos e oTag Editor

Para usar Grupos de recursos e Tag Editor, as seguintes permissões devem ser adicionadas a umadeclaração da política do usuário no IAM. A seção a seguir descreve como adicionar as permissõesnecessárias.

• resource-groups:* (Essa permissão permite todas as ações do Grupos de recursos, mas pararestringir as ações que estão disponíveis para um usuário, você pode substituir o asterisco por umaação específica do Grupos de recursos e adicionar mais permissões, conforme necessário, para permitirações específicas adicionais.)

• cloudformation:DescribeStacks

• cloudformation:ListStackResources

• tag:GetResources

• tag:TagResources

• tag:UntagResources

• tag:getTagKeys

• tag:getTagValues

• resource-explorer:*

Para usar o Grupos de recursos e o Tag Editor no console, você também precisa de permissão paraexecutar a ação resource-groups:ListGroupResources. Essa permissão é necessária para listaros tipos de recursos disponíveis na região atual. Não há suporte no momento para o uso de condições depolítica com o resource-groups:ListGroupResources.

Conceder permissões para usar o AWS Resource Groups e oTag Editor

Para adicionar uma política para usar o AWS Resource Groups e o Tag Editor para um usuário, faça oseguinte.

1. Abra o Console do IAM.

26

https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourcegroups.html


2. No painel de navegação, escolha Users (Usuários).3. Encontre o usuário ao qual você deseja conceder as permissões AWS Resource Groups e Tag Editor.

Escolha o nome do usuário para abrir a página de propriedades do usuário.4. Selecione Add permissions (Adicionar permissões).5. Escolha Attach existing policies directly (Anexar políticas existentes diretamente).

6. Escolha Create policy (Criar política).7. Na guia JSON, cole a seguinte declaração de política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:*" ], "Resource": "*" } ]

27


}

Note

Essa declaração de política concede permissões somente para as ações AWS ResourceGroups e Tag Editor. Ela não permite o acesso às tarefas do AWS Systems Manager noconsole do AWS Resource Groups. Por exemplo, essa política não concede permissõespara você usar os comandos de Automation do Systems Manager. Para executar tarefas doSystems Manager em grupos de recursos, você deve ter permissões do Systems Manageranexadas à sua política (como ssm:*). Para obter mais informações sobre como concederacesso ao Systems Manager, consulte Configurar o acesso ao Systems Manager no Guia dousuário do AWS Systems Manager.

8. Selecione Review policy (Revisar política).9. Dê um nome e uma descrição à nova política (por exemplo,

AWSResourceGroupsQueryAPIAccess).

10. Escolha Create policy (Criar política).11. Agora que a política está salva no IAM, você pode anexá-la a outros usuários. Para obter mais

informações sobre como adicionar uma política a um usuário, consulte Adicionar permissõesanexando políticas diretamente ao usuário no Guia do usuário do IAM.

Saiba mais sobre a autorização e o controle de acesso doAWS Resource Groups

O Grupos de recursos é compatível com o seguinte.

• Políticas baseadas em ação. Por exemplo, você pode criar uma política que permita que os usuáriosexecutem operações do ListGroups, mas não outros.

• Permissões no nível do recurso. O Grupos de recursos oferece suporte ao uso de ARNs para especificarrecursos individuais na política.

• Autorização baseada em tags. O Grupos de recursos oferece suporte ao uso de tags derecurso (p. 41) na condição de uma política. Por exemplo, você pode criar uma política que concedaaos usuários do Grupos de recursos acesso total a um grupo marcado.

28

https://docs.aws.amazon.com/systems-manager/latest/userguidesystems-manager-access.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy

https://docs.aws.amazon.com/ARG/latest/APIReference/API_ListGroups.html


AWS Resource Groups Guia do usuárioCriar grupos

• Credenciais temporárias. Os usuários podem assumir uma função com uma política que permitaoperações do AWS Resource Groups.

O Grupos de recursos não é compatível com políticas baseadas em recursos.

O Grupos de recursos não usa funções vinculadas ao serviço.

Para obter mais informações sobre como o Grupos de recursos e o Tag Editor se integram ao AWSIdentity and Access Management (IAM), consulte os tópicos a seguir no Guia do usuário do AWS Identityand Access Management.

• Serviços da AWS que funcionam com o IAM• Ações, recursos e chaves de condição do AWS Resource Groups• Controlar o acesso usando políticas

Criar consultas e grupos noAWS Resource GroupsNo AWS Resource Groups, uma consulta é a base de um grupo. Você pode basear um grupo de recursosem um de dois tipos de consulta.

Baseadas em tags

As consultas baseadas em tags incluem listas de recursos que são especificados no seguinte formatoAWS::service::resource e tags. As tags são chaves que ajudam a identificar e classificar seusrecursos em sua organização. Opcionalmente, as tags incluem valores para chaves.

Para uma consulta baseada em tags, você também especifica as tags que são compartilhadas pelosrecursos que deseja que sejam membros do grupo. Por exemplo, para criar um grupo de recursosque tenha todas as instâncias do Amazon EC2 e buckets do Amazon S3 que você está usando paraexecutar o estágio de teste de um aplicativo, e você tem instâncias e buckets que estão marcadosdessa forma, escolha os tipos de recurso AWS::EC2::Instance e AWS::S3::Bucket na listasuspensa e especifique a chave de tag Stage com um valor de Test.

AWS CloudFormation Baseadas em pilha do

Em uma consulta baseada em pilha do AWS CloudFormation, você escolhe uma pilha do AWSCloudFormation em sua conta na região atual e escolhe os tipos de recurso na pilha que você desejaincluir no grupo. Você pode basear a consulta em apenas uma pilha do AWS CloudFormation. OGrupos de recursos é compatível com as consultas baseadas em pilhas do AWS CloudFormation quetêm um dos seguintes status.

Se você criar um grupo baseado em uma pilha do AWS CloudFormation, e a pilha for alteradapara um status que não for mais compatível como uma base para uma consulta de grupo, comoDELETE_COMPLETE, o grupo ainda existirá, mas ele não terá recursos de membro.• CREATE_COMPLETE

• CREATE_IN_PROGRESS

• DELETE_IN_PROGRESS

• DELETE_FAILED

• REVIEW_IN_PROGRESS

• ROLLBACK_IN_PROGRESS

• ROLLBACK_FAILED

• UPDATE_IN_PROGRESS

29

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs


https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html

AWS Resource Groups Guia do usuárioCriar uma consulta e um grupo (console)

• UPDATE_COMPLETE_CLEANUP_IN_PROGRESS

• UPDATE_COMPLETE

• UPDATE_ROLLBACK_IN_PROGRESS

• UPDATE_ROLLBACK_FAILED

• UPDATE_ROLLBACK_COMPLETE_CLEANUP_IN_PROGRESS

• UPDATE_ROLLBACK_COMPLETE

Depois de criar um grupo de recursos, você pode executar tarefas nos recursos no grupo.

Criar uma consulta e um grupo (console)Os procedimentos a seguir mostram como criar uma consulta e criar um grupo de recursos no Console degerenciamento da AWS.

Tópicos• Criar um grupo baseado em tags (p. 30)• Criar um grupo baseado em pilha doAWS CloudFormation (p. 32)

Criar um grupo baseado em tags1. Abra o Grupos de recursos na parte superior esquerda do Console de gerenciamento da AWS.

Escolha Create a resource group (Criar um grupo de recursos).2. Na página Create query-based group (Criar grupo baseado em consulta), em Group type (Tipo de

grupo), escolha o tipo de grupo Tag based (Baseado em tags).

3. Em Grouping criteria (Critérios de agrupamento), escolha os tipos de recurso que você deseja incluirno grupo de recursos. Você pode ter no máximo 20 tipos de recurso em uma consulta. Para estademonstração, escolha AWS::EC2::Instance e AWS::S3::Bucket.

30


4. Em Tags, especifique uma chave de tag ou um par de chave e valor de tag, para limitar as instânciasdo EC2 e os buckets do S3 em sua conta a apenas aqueles que estão marcados com os valoresespecificados. Escolha Add (Adicionar) ou pressione Enter quando tiver concluído a tag. Nesteexemplo, filtramos os recursos que têm uma chave de tag Stage (Estágio). O valor da tag é opcional,mas restringe ainda mais os resultados da consulta. Você pode adicionar vários valores para umachave de tag adicionando um operador OR entre valores de tag. Para adicionar mais tags, escolhaAdd (Adicionar). As consultas atribuem um operador AND às tags, de forma que qualquer recurso quecorresponda aos tipos de recurso especificados e todas as tags especificadas seja retornado pelaconsulta.

5. Escolha View group resources (Visualizar recursos do grupo) para retornar a lista de instâncias doEC2 e buckets do S3 na sua conta que correspondam às chaves de tag especificadas.

6. Para criar um grupo de recursos com base na consulta, especifique um nome e, opcionalmente, umadescrição.

a. Na caixa Group name (Nome do grupo), digite um nome para o grupo de recursos.

31


Um nome de grupo de recursos pode ter no máximo 128 caracteres, incluindo letras, números,pontos, hifens e sublinhados. O nome não pode começar com AWS ou aws. Esses sãoreservados. Um nome de grupo de recursos deve ser exclusivo na região atual em sua conta.

b. (Opcional) Em Group description (Descrição do grupo), digite uma descrição para o grupo.c. (Opcional) Na área Group tags (Tags do grupo), adicione pares de chave e valor de tags que se

aplicam somente ao grupo de recursos, e não a recursos de membro no grupo.

As tags de grupo são úteis se você desejar que esse grupo faça parte de um grupo maior. Comoé necessário especificar pelo menos uma chave de tag para criar um grupo, certifique-se deadicionar pelo menos uma chave de tag em Group tags (Tags do grupo) nos grupos que vocêpretende aninhar em grupos maiores.

7. Ao concluir, escolha Create group (Criar grupo).

Criar um grupo baseado em pilha doAWS CloudFormation1. Abra o Grupos de recursos na parte superior esquerda do Console de gerenciamento da AWS.2. Escolha Create a resource group (Criar um grupo de recursos).3. Em Create query-based group (Criar grupo baseado em consulta), em Group type (Tipo de grupo),

escolha o tipo de grupo CloudFormationbaseado em pilha.

4. Escolha a pilha que você deseja usar como a base do grupo. Um grupo de recursos pode ser baseadoem apenas uma pilha. Para filtrar a lista de pilhas, comece digitando o nome da pilha. Somente pilhascom status compatíveis são exibidas na lista.

32

AWS Resource Groups Guia do usuárioCriar uma consulta e um grupo (AWS CLI)

5. Escolha os tipos de recurso na pilha que você deseja incluir no grupo. Para esta demonstração,mantenha o padrão, All supported resource types (Todos os tipos de recurso compatíveis). Para obtermais informações sobre quais tipos de recurso são compatíveis e podem estar no grupo, consulteRecursos que você pode usar com o AWS Resource Groups. (p. 5).

6. Escolha View group resources (Visualizar recursos do grupo) para retornar à lista de recursos na pilhado AWS CloudFormation que correspondem aos tipos de recurso selecionados.

7. Para criar um grupo de recursos com base na consulta, especifique um nome e, opcionalmente, umadescrição.

a. Em Group name (Nome do grupo), digite um nome para o grupo de recursos.

Um nome de grupo de recursos pode ter no máximo 128 caracteres, incluindo letras, números,pontos, hifens e sublinhados. O nome não pode começar com AWS ou aws. Esses sãoreservados. Um nome de grupo de recursos deve ser exclusivo na região atual em sua conta.

b. (Opcional) Em Group description (Descrição do grupo), digite uma descrição para o grupo.c. (Opcional) Na área Group tags (Tags do grupo), adicione pares de chave e valor de tags que se

aplicam somente ao grupo de recursos, e não a recursos de membro no grupo.

As tags de grupo são úteis se você desejar que esse grupo faça parte de um grupo maior. Comoé necessário especificar pelo menos uma chave de tag para criar um grupo, certifique-se deadicionar pelo menos uma chave de tag em Group tags (Tags do grupo) nos grupos que vocêpretende aninhar em grupos maiores.

8. Ao concluir, escolha Create group (Criar grupo).

Criar uma consulta e um grupo (AWS CLI)O procedimento a seguir mostra como criar uma consulta e criar um grupo de recursos na AWS CLI.

Na AWS CLI, você cria uma consulta e o grupo de recursos no mesmo comando. Os comandos da AWSCLI mostrados neste tópico criam grupos.

Tópicos

33

AWS Resource Groups Guia do usuárioCriar uma consulta e um grupo (AWS CLI)

• Criar um grupo baseado em tags noGrupos de recursos (p. 34)• Criar um grupo baseado em pilha do AWS CloudFormation noGrupos de recursos (p. 34)

Criar um grupo baseado em tags noGrupos de recursosUm grupo baseado em tag é baseado em uma consulta do tipo TAG_FILTERS_1_0.

1. Em uma sessão da AWS CLI, digite o seguinte e pressione Enter, substituindo os valores de nome dogrupo, descrição, tipos de recurso, chaves de tags e valores de tags por seus próprios. As descriçõespodem ter um máximo de 512 caracteres, incluindo letras, números, sublinhados, hifens, pontuaçãoe espaços. Você pode ter no máximo 20 tipos de recurso em uma consulta. Um nome de grupo derecursos pode ter no máximo 128 caracteres, incluindo letras, números, pontos, hifens e sublinhados.O nome não pode começar com AWS ou aws. Esses são reservados. Um nome de grupo de recursosdeve ser exclusivo em sua conta.

Pelo menos um valor para ResourceTypeFilters é necessário. Para especificar todos os tipos derecurso, use AWS::AllSupported como o valor de ResourceTypeFilters.

$ aws resource-groups create-group \ --name resource-group-name \ --resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"resource_type1\",\"resource_type2\"],\"TagFilters\":[{\"Key\":\"Key1\",\"Values\":[\"Value1\",\"Value2\"]},{\"Key\":\"Key2\",\"Values\":[\"Value1\",\"Value2\"]}]}"}'

O comando a seguir é um exemplo.

$ aws resource-groups create-group \ --name my-resource-group \ --resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\"],\"TagFilters\":[{\"Key\":\"Stage\",\"Values\":[\"Test\"]}]}"}'

O comando a seguir é um exemplo que inclui todos os tipos de recurso compatíveis.

$ aws resource-groups create-group \ --name my-resource-group \ --resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"AWS::AllSupported\"],\"TagFilters\":[{\"Key\":\"Stage\",\"Values\":[\"Test\"]}]}"}'

2. Veja a seguir o que é retornado na resposta ao comando.

• Uma descrição completa do grupo que você criou.• A consulta de recursos que você usou para criar o grupo.• As tags associadas ao grupo.

Criar um grupo baseado em pilha do AWS CloudFormationnoGrupos de recursosUm grupo baseado em pilha do AWS CloudFormation é baseado em uma consulta do tipoCLOUDFORMATION_STACK_1_0.

1. Em uma sessão da AWS CLI, digite o seguinte e pressione Enter, substituindo os valores de nome dogrupo, descrição, identificador de pilha e tipos de recurso por seus próprios. As descrições podem terum máximo de 512 caracteres, incluindo letras, números, sublinhados, hifens, pontuação e espaços.

34

AWS Resource Groups Guia do usuárioAtualizar grupos

Se você não especificar tipos de recurso, o Grupos de recursos incluirá todos os tipos de recursocompatíveis na pilha. Você pode ter no máximo 20 tipos de recurso em uma consulta. Um nome degrupo de recursos pode ter no máximo 128 caracteres, incluindo letras, números, pontos, hifens esublinhados. O nome não pode começar com AWS ou aws. Esses são reservados. Um nome de grupode recursos deve ser exclusivo em sua conta.

O stack_identifier é o ARN da pilha, conforme mostrado no comando de exemplo.

$ aws resource-groups create-group \ --name group_name \ --description "description" \ --resource-query '{"Type":"CLOUDFORMATION_STACK_1_0","Query":"{\"StackIdentifier\":\"stack_identifier\",\"ResourceTypeFilters\":[\"resource_type1\",\"resource_type2\"]}"}'


$ aws resource-groups create-group \ --name My-CFN-stack-group \ --description "My first CloudFormation stack-based group" \ --resource-query '{"Type":"CLOUDFORMATION_STACK_1_0","Query":"{\"StackIdentifier\":\"arn:aws:cloudformation:us-west-2:123456789012:stack\/AWStestuseraccount\/fb0d5000-aba8-00e8-aa9e-50d5cEXAMPLE\",\"ResourceTypeFilters\":[\"AWS::EC2::Instance\",\"AWS::S3::Bucket\"]}"}'

2. Veja a seguir o que é retornado na resposta ao comando.

• Uma descrição completa do grupo que você criou.• A consulta de recursos que você usou para criar o grupo.

Atualizar grupos noAWS Resource GroupsPara atualizar um grupo de recursos baseado em tags no Grupos de recursos, você pode editar a consultae as tags que são a base do grupo. Você pode adicionar e remover recursos do grupo somente aplicandoalterações na consulta ou nas tags. Você não pode selecionar recursos específicos para adicionar ouremover do grupo. A melhor maneira de adicionar ou remover um recurso específico de um grupo é editaras tags do recurso. Depois, verifique se a consulta de tags do grupo de recursos inclui ou omite a tag,dependendo se você deseja ou não o recurso em seu grupo.

Para atualizar um grupo de recursos baseado em pilha do AWS CloudFormation, você pode escolheruma pilha diferente. Você também pode adicionar ou remover tipos de recursos da pilha que você desejaque faça parte do grupo. Para alterar os recursos que estão disponíveis na pilha, atualize o modelo doAWS CloudFormation usado para criar a pilha e atualize a pilha no AWS CloudFormation. Para obter maisinformações sobre como atualizar uma pilha do AWS CloudFormation, consulte Atualizações de pilhas doAWS CloudFormation no Guia do usuário do .AWS CloudFormation

Na AWS CLI, você pode atualizar grupos em dois comandos.

• update-group, executado para atualizar uma descrição do grupo.• update-group-query, executado para atualizar a consulta e as tags do recurso que determinam os

recursos de membro do grupo.

No console, você não pode alterar um grupo baseado em pilha do AWS CloudFormation para um grupobaseado em tags ou vice-versa. No entanto, você pode fazer isso usando a API do Grupos de recursos,incluindo na AWS CLI.

35

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks.html

AWS Resource Groups Guia do usuárioAtualizar grupos (console)

Atualizar grupos (console)Tópicos

• Atualizar um grupo baseado em tags (p. 36)• Atualizar um grupo baseado em pilha doAWS CloudFormation (p. 37)

Atualizar um grupo baseado em tagsAtualize um grupo baseado em tags alterando os tipos de recurso ou tags na consulta em que o grupo ébaseado. Você também pode adicionar ou alterar a descrição do grupo.

1. Abra o Grupos de recursos na parte superior esquerda do Console de gerenciamento da AWS.2. No painel de navegação, em Saved resource groups (Grupos de recursos salvos), escolha um grupo e

escolha Edit (Editar).

Note

Você só pode atualizar grupos de recursos que você possui. A coluna Proprietário mostra apropriedade da conta para cada grupo de recursos. Qualquer grupo com um proprietário deconta diferente daquele no qual você está conectado foi criado no AWS License Manager.Para obter mais informações, consulte Grupos de recursos de host no AWS License Managerno Guia do usuário do License Manager.

3. Na página Edit group (Editar grupo), em Grouping criteria (Critérios de agrupamento), adicione ouremova tipos de recurso. Você pode ter no máximo 20 tipos de recurso em uma consulta. Pararemover um tipo de recurso, escolha X no rótulo do tipo de recurso. Escolha View group resources(Visualizar recursos do grupo) para ver como as alterações afetam os membros de recursos do grupo.Nesta demonstração, adicionamos o tipo de recurso AWS::RDS::DBInstance à consulta.

4. Edite as tags, se necessário. Neste exemplo, filtramos recursos que têm uma chave de tag de Stage(Estágio) e adicionamos um valor de tag de Test (Teste). O valor da tag é opcional, mas restringeainda mais os resultados da consulta. Para remover uma tag, escolha X no rótulo da tag.

36

https://docs.aws.amazon.com/license-manager/latest/userguide/host-resource-groups.html


5. Na área Additional information (Informações adicionais), você pode editar a descrição do grupo. Vocênão pode editar o nome de um grupo depois que o grupo foi criado.

6. Em Group tags (Tags do grupo), adicione ou remova tags. As tags de grupos são metadados sobreseu grupo de recursos. Elas não afetam os recursos de membro. Para alterar os recursos que sãoretornados pela consulta do grupo de recursos, edite as tags na área Grouping criteria (Critérios deagrupamento).

As tags de grupo são úteis se você desejar que esse grupo faça parte de um grupo maior. Énecessário especificar pelo menos uma chave de tag para criar um grupo. Portanto, certifique-se deadicionar pelo menos uma chave de tag em Group tags (Tags de grupo) aos grupos que você planejaaninhar em grupos maiores.

7. Escolha View query results (Visualizar resultados da consulta) para retornar a lista atualizada deinstâncias do EC2, buckets do S3 e instâncias de banco de dados do Amazon RDS em sua contaque correspondem às chaves de tag especificadas. Se você não vir os recursos que esperava nalista, certifique-se de que os recursos estejam marcados com as tags que você especificou na áreaGrouping criteria (Critérios de agrupamento).

8. Ao concluir, escolha Save changes (Salvar alterações).

Atualizar um grupo baseado em pilha doAWS CloudFormationVocê não pode alterar um grupo baseado em pilha do AWS CloudFormation para um grupo baseadoem tags no Console de gerenciamento da AWS. No entanto, você pode alterar a pilha na qual o grupoé baseado ou alterar os tipos de recurso de pilha que você deseja incluir no grupo. Você também podeadicionar ou alterar a descrição do grupo.

1. Abra o Grupos de recursos na parte superior esquerda do Console de gerenciamento da AWS.2. No painel de navegação, em Saved resource groups (Grupos de recursos salvos), escolha um grupo

existente e escolha Edit (Editar).

37


Note

Você só pode atualizar grupos de recursos que você possui. A coluna Proprietário mostra apropriedade da conta para cada grupo de recursos. Qualquer grupo com um proprietário deconta diferente daquele no qual você está conectado foi criado no AWS License Manager.Para obter mais informações, consulte Grupos de recursos de host no AWS License Managerno Guia do usuário do License Manager.

3. Na página Edit group (Editar grupo), em Grouping criteria (Critérios de agrupamento), para alterara pilha em que o grupo é baseado, escolha a pilha na lista suspensa. Um grupo de recursos podeser baseado em apenas uma pilha. Para filtrar a lista de pilhas, comece digitando o nome dapilha. Somente pilhas com status compatíveis são exibidas na lista. Para obter uma lista de statuscompatíveis, consulte Criar consultas e grupos noAWS Resource Groups (p. 29) neste guia.

4. Adicione ou remova tipos de recurso. Somente tipos de recurso que estão disponíveis na pilha sãomostrados na lista suspensa. O padrão é All supported resource types (Todos os tipos de recursocompatíveis). Você pode ter no máximo 20 tipos de recurso em uma consulta. Para remover um tipode recurso, escolha X no rótulo do tipo de recurso. Para obter mais informações sobre quais tipos derecurso são compatíveis e podem estar no grupo, consulte Recursos que você pode usar com o AWSResource Groups. (p. 5).

5. Escolha View group resources (Visualizar recursos do grupo) para retornar à lista de recursos na pilhado AWS CloudFormation que correspondem aos tipos de recurso selecionados.

6. Na área Additional information (Informações adicionais), você pode editar a descrição do grupo. Vocênão pode editar o nome de um grupo depois que o grupo foi criado.

38

https://docs.aws.amazon.com/license-manager/latest/userguide/host-resource-groups.html

AWS Resource Groups Guia do usuárioAtualizar grupos (AWS CLI)

7. Em Group tags (Tags do grupo), adicione ou remova tags. As tags de grupos são metadados sobreseu grupo de recursos. Elas não afetam os recursos de membro. Para alterar os recursos que sãoretornados pela consulta do grupo de recursos, edite as tags na área Grouping criteria (Critérios deagrupamento).

As tags de grupo são úteis se você desejar que esse grupo faça parte de um grupo maior. Énecessário especificar pelo menos uma chave de tag para criar um grupo. Portanto, certifique-se deadicionar pelo menos uma chave de tag em Group tags (Tags de grupo) aos grupos que você planejaaninhar em grupos maiores.

8. Ao concluir, escolha Save changes (Salvar alterações).

Atualizar grupos (AWS CLI)Na AWS CLI, você atualiza uma consulta do grupo e atualiza uma descrição do grupo de recursos usandodois comandos diferentes. Não é possível editar o nome de um grupo existente. No AWS CLI, você podealterar um grupo baseado em tags para um grupo baseado em pilha do CloudFormation ou vice-versa.

Tópicos• Atualizar um grupo baseado em tags (p. 39)• Atualizar um grupo baseado em pilha doAWS CloudFormation (p. 40)

Atualizar um grupo baseado em tags1. Se não desejar alterar a descrição do grupo, ignore esta etapa e vá para a próxima. Em uma sessão

da AWS CLI, digite o seguinte e pressione Enter, substituindo os valores de nome e descrição dogrupo por seus próprios.

$ aws resource-groups update-group \ --group-name resource-group-name \ --description "description_text"


$ aws resource-groups update-group \ --group-name my-resource-group \ --description "EC2 instances, S3 buckets, and RDS DBs that we are using for the test stage."

O comando retorna uma descrição completa e atualizada do grupo.2. Digite o seguinte comando para atualizar a consulta e as tags de um grupo. Substitua os valores de

nome do grupo, tipos de recurso, chaves de tag e valores de tag com seus próprios. Depois, insiraEnter. Você pode ter no máximo 20 tipos de recurso em uma consulta.

$ aws resource-groups update-group-query \ --group-name resource-group-name \ --resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"resource_type1\",\"resource_type2\"],\"TagFilters\":[{\"Key\":\"Key1\",\"Values\":[\"Value1\",\"Value2\"]},{\"Key\":\"Key2\",\"Values\":[\"Value1\",\"Value2\"]}]}"}'


$ aws resource-groups update-group-query \ --group-name my-resource-group \

39

AWS Resource Groups Guia do usuárioAtualizar grupos (AWS CLI)

--resource-query '{"Type":"TAG_FILTERS_1_0","Query":"{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\",\"AWS::S3::Bucket\",\"AWS::RDS::DBInstance\"],\"TagFilters\":[{\"Key\":\"Stage\",\"Values\":[\"Test\"]}]}"}'

O comando retorna a consulta atualizada como resultado.

Atualizar um grupo baseado em pilha doAWS CloudFormation1. Se não desejar alterar a descrição do grupo, ignore esta etapa e vá para a próxima. Em uma sessão

da AWS CLI, digite o seguinte e pressione Enter, substituindo os valores de nome e descrição dogrupo por seus próprios.

$ aws resource-groups update-group \ --group-name "resource-group-name" \ --description "description_text"


$ aws resource-groups update-group \ --group-name "My-CFN-stack-group" \ --description "EC2 instances, S3 buckets, and RDS DBs that we are using for the test stage."

O comando retorna uma descrição completa e atualizada do grupo.2. Digite o seguinte comando para atualizar a consulta e as tags de um grupo. Substitua os valores de

nome do grupo, identificador de pilha e tipos de recurso com seus próprios. Em seguida, pressioneEnter. Para adicionar tipos de recurso, forneça a lista completa dos tipos de recurso no comando, nãoapenas os tipos de recurso que você está adicionando. Você pode ter no máximo 20 tipos de recursoem uma consulta.

O stack_identifier é o ARN da pilha, conforme mostrado no comando de exemplo.

$ aws resource-groups update-group-query \ --group-name resource-group-name \ --description "description" \ --resource-query '{"Type":"CLOUDFORMATION_STACK_1_0","Query":"{\"StackIdentifier\":\"stack_identifier\",\"ResourceTypeFilters\":[\"resource_type1\",\"resource_type2\"]}"}'


$ aws resource-groups update-group-query \ --group-name "my-resource-group" \ --description "Updated CloudFormation stack-based group" \ --resource-query '{"Type":"CLOUDFORMATION_STACK_1_0","Query":"{\"StackIdentifier\":\"arn:aws:cloudformation:us-west-2:810000000000:stack\/AWStestuseraccount\/fb0d5000-aba8-00e8-aa9e-50d5cEXAMPLE\",\"ResourceTypeFilters\":[\"AWS::EC2::Instance\",\"AWS::S3::Bucket\"]}"}'

O comando retorna a consulta atualizada como resultado.

40

AWS Resource Groups Guia do usuárioExcluir grupos

Excluir grupos doAWS Resource GroupsVocê pode usar o console ou a AWS CLI do Grupos de recursos para excluir grupos de recursos do AWSResource Groups. A exclusão de um grupo de recursos não exclui os recursos que são membros do grupoou das tags nos recursos de membro. Ela exclui apenas a estrutura do grupo e todas as tags em nível dogrupo.

Para excluir grupos de recursos (Console de gerenciamento da AWS)

1. No menu suspenso do Grupos de recursos na página inicial da AWS, selecione Saved ResourceGroups (Grupos de recursos salvos).

2. Escolha o grupo de recursos que você deseja excluir.3. Na página de detalhes do grupo, escolha Delete (Excluir).

4. Quando solicitado a confirmar a exclusão, escolha Delete (Excluir).

Para excluir grupos de recursos (AWS CLI)

1. Digite o comando a seguir, substituindo resource_group_name pelo nome do seu grupo epressione Enter.

$ aws resource-groups delete-group \ --group-name resource_group_name

2. Quando solicitado a confirmar a exclusão, digite yes e pressione Enter.

Tag EditorAs tags são palavras ou frases que atuam como metadados que você pode usar para identificar eorganizar seus recursos da AWS. Um recurso pode ter até 50 tags aplicadas pelo usuário. Ele tambémpode ter tags do sistema somente leitura. Cada tag consiste em uma chave e em um valor opcional. Para

41

AWS Resource Groups Guia do usuárioEncontrar recursos para marcar

obter mais informações, consulte Estratégias de marcação da AWS em Respostas do AWS e Usar tags dealocação de custos no Guia do usuário de Gerenciamento de custos e faturamento da AWS.

Important


Você pode adicionar tags aos recursos ao criá-los. Você pode usar o console ou a API de serviço dorecurso para adicionar, alterar ou remover essas tags em um recurso de cada vez. Para adicionar tags— ou editar ou excluir tags — a vários recursos de uma só vez, use Tag Editor. Com o Tag Editor, vocêpesquisa os recursos que deseja marcar e gerencia as tags dos recursos nos resultados da pesquisa.

Para iniciar o Tag Editor

1. Faça login no Console de gerenciamento da AWS.2. Na barra de navegação, escolha Services (Serviços). Em seguida, em Management & governance,

escolha Resource Groups & Tag Editor. No painel de navegação à esquerda, escolha Tag Editor.

Link direto: AWS Console do Tag Editor

Nem todos os recursos podem ter tags aplicadas. Para obter informações sobre quais recursossão compatíveis com o Tag Editor, consulte Recursos que você pode usar com o AWS ResourceGroups. (p. 5). Se um tipo de recurso que você deseja marcar não for compatível, certifique-se de quea AWS sabe, escolhendo a ferramenta Feedback (Comentários) no canto inferior esquerdo da janela doconsole.

Para obter informações sobre as permissões e funções necessárias para marcar recursos, consulteConfigurar permissões (p. 25).

Tópicos• Encontrar recursos para marcar (p. 42)• Gerenciar tags (p. 47)• Solucionar problemas de alterações de tag (p. 54)

Encontrar recursos para marcarCom o Tag Editor, você cria uma consulta para encontrar recursos em uma ou mais regiões da AWSdisponíveis para marcação. Você pode escolher até 20 tipos de recurso individual ou criar uma consultaem All resource types (Todos os tipos de recurso). Sua consulta pode incluir recursos que já têm tags ourecursos que não têm tags. Para obter mais informações, consulte Recursos que você pode usar com oAWS Resource Groups. (p. 5).

Depois de encontrar recursos para marcar, você pode usar o Tag Editor para adicionar tags ou visualizar,editar ou excluir tags.

Para encontrar recursos para marcar

1. Faça login no Console de gerenciamento da AWS, escolha Resource Groups (Grupos de recursos) eTag Editor.

2. (Opcional.) Escolha as regiões nas quais pesquisar recursos para marcar. Por padrão, a região atual éselecionada. Para esta demonstração, escolha us-east-1 e us-west-2.

42

http://aws.amazon.com/answers/account-management/aws-tagging-strategies/

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html#allocation-what

https://console.aws.amazon.com/resource-groups/tag-editor/find-resources


3. Escolha pelo menos um tipo de recurso na lista suspensa Resource type (Tipo de recurso). Vocêpode adicionar ou editar tags para até 20 tipos de recurso individual por vez, ou escolher Allresource types (Todos os tipos de recurso). Para esta demonstração, escolha AWS::EC2::Instance eAWS::S3::Bucket.

4. (Opcional.) Nos campos Tags, insira uma chave de tag ou um par de chave e valor de tag paralimitar os recursos na região da AWS atual a apenas os que estão marcados com os valoresespecificados. Conforme você digita uma chave de tag, as chaves de tag correspondentes na regiãoatual aparecem em uma lista abaixo. Você pode escolher uma chave de tag na lista. O Tag Editorpreenche automaticamente a chave de tag para você à medida que digita caracteres suficientespara corresponder a uma chave existente. Escolha Add (Adicionar) ou pressione Enter quando tiverconcluído a tag. Neste exemplo, filtramos os recursos que têm uma chave de tag Stage (Estágio).O valor da tag é opcional, mas restringe ainda mais os resultados da consulta. Para adicionar maistags, escolha Add (Adicionar). As consultas atribuem um operador AND às tags, de forma que qualquerrecurso que corresponda aos tipos de recurso especificados e a todas as tags especificadas sejaretornado pela consulta.

Para encontrar recursos com vários valores para uma chave de tag, adicione outra tag com a mesmachave à consulta, mas especifique um valor diferente. Os resultados incluem todos os recursosmarcados com a mesma chave de tag e que têm qualquer um dos valores selecionados. A pesquisadiferencia maiúsculas de minúsculas.

Deixe as caixas Tags em branco para encontrar todos os recursos do tipo especificado na região atualda AWS. Essa consulta retorna recursos com qualquer tag e inclui os que não têm tags. Para removeruma tag da consulta, escolha X no rótulo da tag.

Para encontrar recursos que tenham um valor vazio para uma tag, escolha (empty value) ((valorvazio)) quando o cursor estiver na caixa de valor da tag. Para encontrar recursos que tenham umachave de tag, mas sem valor de tag, escolha (not tagged) (não marcado).

Note

Para poder encontrar recursos com as tags especificadas, elas devem ter sido aplicadas apelo menos um recurso do tipo especificado na região da atual da AWS.

43


5. Quando a consulta estiver pronta, escolha Search resources (Pesquisar recursos). Os resultados sãoexibidos na área Resource search results (Resultados da pesquisa de recursos).

Para filtrar um grande número de recursos, insira qualquer texto de filtro, como parte do nome de umrecurso, em Filter resources (Filtrar recursos).

6. (Opcional.) Para configurar as colunas exibidas pelo Tag Editor nos resultados da pesquisa derecursos, selecione o ícone de engrenagem Preferences (Preferências) nos resultados.

Na página Preferences (Preferências), escolha o número de linhas a serem exibidas nos resultados depesquisa. Ative as colunas que você deseja que o Tag Editor exiba nos resultados. Você pode mostrarcolunas para chaves de tag que ocorrem nos resultados da pesquisa ou um subconjunto selecionadodos resultados da pesquisa. Você pode fazer isso a qualquer momento depois de encontrar osrecursos a serem marcados.

44


Ao concluir a configuração das colunas visíveis e o número de linhas exibidas, escolha Confirm(Confirmar).

Exibir tags de recursos selecionadosTag Editor mostra as tags existentes nos recursos selecionados que estão nos resultados da consulta Findresources to tag (Encontrar recursos para marcar).

1. Nos resultados da consulta Find resources to tag (Encontrar recursos para marcar), escolha umnúmero na coluna Total tags (Total de tags) de qualquer recurso, selecionado ou não, do qual vocêdeseja visualizar as tags existentes. Recursos com um traço na coluna Total tags (Total de tags) nãotêm tags existentes.

2. Visualize as tags existentes em Resource tags (Tags de recursos). Você também pode abrir essajanela na página Manage tags (Gerenciar tags) ao alterar ou remover tags.

45


Note

Se uma tag recém-aplicada a um recurso não estiver visível, tente atualizar a janela donavegador.

Exportar os resultados para CSVVocê pode exportar os resultados de uma consulta Find resources to tag (Encontrar recursos para marcar)para um arquivo de valores separados por vírgulas (CSV). O arquivo CSV inclui os nomes de recursos,serviços, região, recurso IDs, o número total de tags e uma coluna para cada chave de tag exclusiva nacoleção. O arquivo CSV pode ajudar a desenvolver uma estratégia de marcação dos recursos de suaorganização, ou determinar onde há sobreposições ou inconsistências na marcação entre recursos.

1. Nos resultados da consulta Find resources to tag (Encontrar recursos para marcar), escolha Exportresources to CSV (Exportar recursos para CSV).

2. Quando solicitado pelo navegador, escolha abrir o arquivo CSV (normalmente no Microsoft Excel) ousalve-o em um local conveniente.

Informações relacionadas• Estratégias de marcação da AWS• Usar tags de alocação de custos• Tag Editor (p. 41)

46



AWS Resource Groups Guia do usuárioGerenciar tags

Gerenciar tagsDepois de encontrar os recursos (p. 42) que deseja marcar, você pode adicionar, remover e editaras tags de alguns ou todos os resultados da pesquisa. O Tag Editor mostra todas as tags anexadas arecursos e se essas tags foram adicionadas em Tag Editor ou usando o console de serviço do recurso ouusando a API.

Important


Outras maneiras de gerenciar suas tags

Este tópico discute a marcação de recursos usando o Tag Editor no console do AWS. Porém, háoutras ferramentas que você pode usar para gerenciar as tags em seus recursos da AWS:

• Você pode digitar comandos ou script no seu prompt de shell usando os comandos doresourcegroupstaggingapi na (AWS Command Line Interface).AWS CLI

• Você pode criar e executar scripts do PowerShell usando a API de marcação do AWS ResourceGroups nas ferramentas da AWS para o PowerShell.

• Você pode criar e executar programas com qualquer um dos AWS SDKs disponíveis usandoa Marcação de grupos de recursos APIs, como a marcação APIs para Python ou a marcaçãoAPIs para Java.

Ao adicionar, remover ou editar tags existentes, você está alterando apenas as tags nos recursosselecionados nos resultados de sua consulta Find resources to tag (Encontrar recursos para marcar). Vocêpode selecionar até 500 recursos nos quais gerenciar tags.

Tópicos• Adicionar tags a recursos selecionados (p. 47)• Editar tags de recursos selecionados (p. 49)• Remover tags de recursos selecionados (p. 52)• Tentar novamente alterações de tag com falha (p. 53)• Informações relacionadas (p. 53)

Adicionar tags a recursos selecionadosÉ possível usar Tag Editor para adicionar tags a recursos selecionados que estão nos resultados daconsulta Find resources to tag (Encontrar recursos para marcar).

1. Nos resultados da consulta Find resources to tag (Encontrar recursos para marcar), marque as caixasde seleção ao lado dos recursos aos quais você deseja adicionar tags. Insira uma string de texto emFilter resources (Filtrar recursos) para filtrar por parte de um nome de recurso, ID, chaves de tags ouvalores de tags. Na coluna Tags, observe que os recursos nos resultados já têm tags aplicadas a eles.No exemplo a seguir, a primeira instância do EC2 selecionada já tem duas tags.

47

https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/index.html#cli-aws-resourcegroupstaggingapi

https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/index.html#cli-aws-resourcegroupstaggingapi

https://docs.aws.amazon.com/powershell/latest/reference/items/ResourceGroupsTaggingAPI_cmdlets.html

https://docs.aws.amazon.com/powershell/latest/reference/items/ResourceGroupsTaggingAPI_cmdlets.html

https://docs.aws.amazon.com/index.html#sdks

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/

https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/resourcegroupstaggingapi.html

https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/ResourceGroupsTaggingAPI.html

https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/ResourceGroupsTaggingAPI.html


2. Escolha Manage tags of the selected resources (Gerenciar tags dos recursos selecionados).3. Na página Manage tags (Gerenciar tags), visualize as tags nos recursos selecionados. Embora a

consulta original tenha retornado mais recursos, observe que você está adicionando tags apenas aosrecursos que selecionou na etapa 1. Escolha Add tag (Adicionar tag).

4. Insira uma chave de tag e um valor de tag opcional. Nesta demonstração, adicionamos a chave Teame o valor da tag Development.

48


Note

Um recurso pode ter no máximo 50 tags aplicadas pelo usuário. Talvez não seja possíveladicionar novas tags a um recurso se você estiver se aproximando de 50 tags aplicadaspelo usuário. Normalmente, as tags do sistema somente leitura não se aplicam ao limite de50 tags. As chaves de tags também devem ser exclusivas em seus recursos selecionados.Você não pode adicionar uma nova tag com uma chave que corresponde a uma chave de tagexistente nos recursos selecionados.

5. Ao concluir a adição de tags, escolha Review and apply changes (Revisar e aplicar alterações).6. Se você aceitar as alterações, escolha Apply changes to all selected (Aplicar alterações a todos os

selecionados).

7. Dependendo do número de recursos selecionados, a aplicação de novas tags pode demoraralguns minutos. Não saia da página ou abra uma outra página na mesma guia do navegador. Seas alterações foram bem-sucedidas, um banner de sucesso verde será exibido na parte superior dapágina. Aguarde até que um banner de sucesso ou de falha apareça na página para continuar.

Se as alterações de tags em alguns ou todos os recursos não forem bem-sucedidas, consulte Soluçãode problemas de alterações de tags (p. 54). Depois de solucionar e resolver as causas raiz dealterações de tags malsucedidas (como permissões insuficientes), você pode repetir as alterações detags em recursos para os quais as alterações de tags falharam. Para obter mais informações, consultethe section called “Tentar novamente alterações de tag com falha” (p. 53).

Editar tags de recursos selecionadosÉ possível usar o Tag Editor para alterar valores de tags existentes em recursos selecionados que estãonos resultados da consulta Find resources to tag (Encontrar recursos para marcar). (p. 42) A edição deuma tag altera o valor da tag em todos os recursos selecionados que têm a mesma chave de tag. Vocênão pode editar uma chave de tag, mas pode excluir uma tag e criar uma nova tag para substituir umachave de tag. Isso exclui todas as tags com essa chave em recursos selecionados.

Important


1. Nos resultados da consulta Find resources to tag (Encontrar recursos para marcar), marque ascaixas de seleção ao lado dos recursos para os quais você deseja alterar tags existentes. Insira umastring de texto em Filter resources (Filtrar recursos) para filtrar por parte de um nome ou de um ID derecurso. Na coluna Tags, observe que os recursos nos resultados já têm tags aplicadas a eles. Noexemplo a seguir, a primeira instância do EC2 selecionada já tem duas tags.

49


2. Escolha Manage tags of the selected resources (Gerenciar tags dos recursos selecionados).3. Na página Manage tags (Gerenciar tags), em Edit tags of selected resources (Editar tags de recursos

selecionados), visualize as tags no recurso que você selecionou. Embora a consulta original tenharetornado mais recursos, observe que você está alterando tags apenas nos recursos que vocêselecionou na etapa 1.

4. Altere, adicione ou exclua os valores de tags. As tags devem ter uma chave de tag, mas os valores detag são opcionais. Nesta demonstração, alteramos o valor da tag Team para QA.

Selected resources have different tag values (Recursos selecionados têm diferentes valores de tag)será exibido no campo de valor da tag se os recursos em sua seleção tiverem valores diferentes paraa mesma chave. Neste caso, colocar o cursor na caixa abre uma lista suspensa de todos os valoresdisponíveis para essa chave de tag nos recursos selecionados.

50


Se os recursos em sua seleção tiverem o valor da tag que você deseja, o valor da tag será realçadoconforme você o digitar. Por exemplo, se os recursos em sua seleção já tiverem o valor da tag QA, ovalor será realçado conforme você digitar Q. Os valores na lista suspensa ajudam a manter os valoresde tag consistentes entre recursos. O valor da tag é alterado em todos os recursos selecionados.Neste exemplo, o valor da tag é alterado para QA para todos os recursos selecionados que tinhamuma chave de tag Team. Para recursos selecionados que não têm a tag Team, a tag Team com o valorQA é adicionada.

5. Depois de concluir a alteração de tags, escolha Review and apply changes (Revisar e aplicar asalterações).

6. Se você aceitar as alterações, escolha Apply changes to all selected (Aplicar alterações a todos osselecionados).

7. Dependendo do número de recursos selecionados, a edição das tags pode demorar alguns minutos.Não saia da página ou abra uma outra página na mesma guia do navegador. Se as alterações forambem-sucedidas, um banner de sucesso verde será exibido na parte superior da página. Aguarde atéque um banner de sucesso ou de falha apareça na página para continuar.


51


Remover tags de recursos selecionadosÉ possível usar Tag Editor para remover tags de recursos selecionados que estão nos resultados daconsulta Find resources to tag (Encontrar recursos para marcar). (p. 42) A remoção de uma tag excluia tag de todos os recursos selecionados que têm a tag. Como você não pode editar chaves de tags, vocêpode remover tags e substituí-las por novas tags se for necessário editar uma chave de tag. Isso excluitodas as tags com essa chave em recursos selecionados.

1. Nos resultados da consulta Find resources to tag (Encontrar recursos para marcar), marque as caixasde seleção ao lado dos recursos dos quais você deseja remover tags. Insira uma string de texto emFilter resources (Filtrar recursos) para filtrar por parte de um nome ou de um ID de recurso.

2. Escolha Manage tags of the selected resources (Gerenciar tags dos recursos selecionados).3. Na página Manage tags (Gerenciar tags), em Edit tags of selected resources (Editar tags dos

recursos selecionados), visualize as tags nos recursos selecionados. Embora a consulta originaltenha retornado mais recursos, observe que você está alterando tags apenas nos recursos que vocêselecionou na etapa 1.

4. Escolha Remove tag (Remover tag) ao lado de qualquer tag que você deseja excluir. Nestademonstração, removemos a tag Team.

Note

A escolha de Remove tag (Remover tag) remove uma tag de todos os recursos selecionadosque têm a tag. No exemplo mostrado, isso remove a tag Team de todos os recursosselecionados que tiverem a tag Team, independentemente do valor da tag.

52


5. Escolha Review and apply changes (Revisar e aplicar alterações).6. Na página de confirmação, escolha Apply changes to all selected (Aplicar alterações a todos os

selecionados).7. Dependendo do número de recursos selecionados, a remoção de tags pode demorar alguns minutos.

Não saia da página ou abra uma outra página na mesma guia do navegador. Se as alterações forambem-sucedidas, um banner de sucesso verde será exibido na parte superior da página. Aguarde atéque um banner de sucesso ou de falha apareça na página para continuar.


Tentar novamente alterações de tag com falhaSe as alterações de tags falharem em pelo menos um dos recursos selecionados, o Tag Editor exibiráum banner vermelho na parte inferior da página. O banner mostra mensagens de erro para cada tipo defalha ocorrida. Para cada erro, o banner identifica os recursos específicos nos quais o Tag Editor nãoconseguiu fazer alterações de tag. Depois de revisar e solucionar os erros (p. 54), escolha Retry failedtag changes on resources (Tentar novamente as alterações de tags com falha em recursos) para repetir asalterações somente nesses recursos em que as alterações de tag falharam.


53



AWS Resource Groups Guia do usuárioSolucionar problemas de alterações de tag

Solucionar problemas de alterações de tagA lista de verificação a seguir poderá ser útil se ocorrerem erros ao tentar aplicar ou alterar tags emrecursos selecionados nos resultados da consulta Find resources to tag (Encontrar recursos paramarcar) (p. 42).

• O recurso talvez já tenha o número máximo de tags. Em geral, os recursos podem ter no máximo 50tags aplicadas pelo usuário. As tags do sistema somente leitura normalmente não são contadas nonúmero máximo de 50 tags. Outros usuários também podem estar adicionando tags ao mesmo recursoao mesmo tempo, o que pode aumentar as tags do recurso para o número máximo.

• Alguns serviços permitem um conjunto de caracteres diferente (ou restringem o conjunto de caracteresque é permitido) para a criação de tags. Se você tiver adicionado ou alterado tags usando caracteresespeciais, analise os requisitos de tag na documentação do serviço do recurso para verificar se essescaracteres são permitidos pelo serviço.

• Talvez você não tenha permissões para modificar as tags do recurso. Se você não tiver permissões paravisualizar as tags existentes em um recurso, não poderá fazer alterações nas tags do recurso.

• Talvez você não tenha as permissões adequadas para alterar o recurso. As alterações nos metadadosdo recurso podem estar restringidas por outro administrador.

• O recurso pode ter sido editado ou excluído por outro usuário ou processo. Por exemplo, se o recurso foiiniciado como parte da criação de uma pilha do AWS CloudFormation, e a pilha foi excluída ou não estámais em um estado ativo, o recurso poderá não estar disponível.

• As alterações de tags poderão não ser possíveis se um recurso estiver offline ou encerrado, ou se outrasatualizações (por exemplo, atualizações de software) no recurso estiverem em andamento.

• As alterações de tags poderão falhar se você não permitir que as alterações sejam concluídas antesde sair da página. Permita que as alterações de tags sejam concluídas e aguarde até que o banner desucesso ou de falha apareça na página, antes de sair da página.


Políticas de tagUm política de etiqueta é um tipo de política que cria em AWS Organizations. Você pode usar políticade tag para ajudar a padronizar tags entre recursos nas contas da organização. Para usar políticas deetiqueta, AWS A recomenda que siga os fluxos de trabalho descritos em Introdução às políticas de tagsna Guia do usuário do AWS Organizations. Conforme mencionado nessa página, os fluxos de trabalhorecomendados incluem a localização e correção de etiquetas não conformes. Para realizar estas tarefas,utilize o Grupos de recursos consola.

Tópicos• Pré-requisitos e permissões (p. 55)• Avaliar a conformidade de uma conta (p. 57)• Avaliar a conformidade em toda a organização (p. 59)

54



https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html

AWS Resource Groups Guia do usuárioPré-requisitos e permissões

Pré-requisitos e permissõesPara poder avaliar a conformidade com políticas de tag no AWS Resource Groups, você precisa atenderaos requisitos e definir as permissões necessárias.

Pré-requisitos para avaliar a conformidade com as política de tagAvaliar a conformidade com políticas de tag requer o seguinte:

• Você deve primeiro habilitar o recurso no AWS Organizations e criar e anexar políticas de tag. Paraobter mais informações, consulte as páginas a seguir no Guia do usuário do AWS Organizations:• Pré-requisitos e permissões para gerenciar políticas de tag• Habilitar políticas de tag• Conceitos básicos das políticas de tag

• Para encontrar tags incompatíveis nos recursos de uma conta, você precisa de credenciais de login paraessa conta e das permissões listadas em (p. 57).Permissões para avaliar a conformidade de umaconta (p. 55)

• Para avaliar a conformidade em toda a organização, você precisa de credenciais de login para a contade gerenciamento da organização e as permissões listadas em (p. 59).Permissões para avaliar aconformidade em toda a organização (p. 56)

Permissões para avaliar a conformidade de uma contaEncontrar tags incompatíveis nos recursos de uma conta requer estas permissões:

• organizations:DescribeEffectivePolicy – para obter o conteúdo da política de tag efetiva daconta.

• tag:GetResources – para obter uma lista de recursos que não estejam em conformidade com apolítica de tag anexada.

• tag:TagResources – para adicionar ou atualizar tags. Você também precisa de permissõesespecíficas do serviço para criar tags. Por exemplo, para marcar recursos no Amazon EC2, você precisade permissões para o ec2:CreateTags.

• tag:UnTagResources – para remover uma tag. Você também precisa de permissões específicas doserviço para remover tags. Por exemplo, para desmarcar recursos no Amazon EC2, você precisa depermissões para o ec2:DeleteTags.

O exemplo de política do IAM a seguir fornece permissões para avaliar a conformidade de tags de umaconta.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateAccountCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetResources", "tag:TagResources", "tag:UnTagResources" ], "Resource": "*" } ]

55

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-prereqs.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html

AWS Resource Groups Guia do usuárioPré-requisitos e permissões

}

Para obter mais informações sobre as políticas e permissões do IAM, consulte o Guia do usuário do IAM.

Permissões para avaliar a conformidade em toda a organizaçãoAvaliar a conformidade em toda a organização com políticas de tag exige as seguintes permissões:

• organizations:DescribeEffectivePolicy – para obter o conteúdo da política de tag anexada àorganização, UO ou conta.

• tag:GetComplianceSummary – para obter um resumo dos recursos não compatíveis em todas ascontas na organização.

• tag:StartReportCreation – Para exportar os resultados da avaliação de conformidade maisrecente para um arquivo. A conformidade em toda a organização é avaliada a cada 48 horas.

• tag:DescribeReportCreation – para verificar o status da criação do relatório.

A política do IAM de exemplo a seguir fornece permissões para avaliar a conformidade em toda aorganização.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EvaluateOrgCompliance", "Effect": "Allow", "Action": [ "organizations:DescribeEffectivePolicy", "tag:GetComplianceSummary", "tag:StartReportCreation", "tag:DescribeReportCreation" ], "Resource": "*" } ]}

Para obter mais informações sobre as políticas e permissões do IAM, consulte o Guia do usuário do IAM.

Política de bucket do Amazon S3 para armazenamento derelatóriosPara criar um relatório de conformidade em toda a organização, você deve conceder acesso para oprincipal do serviço de políticas de tag a um bucket do Amazon S3 na região Leste dos EUA (Norte daVirgínia) para armazenamento de relatórios. Anexe a seguinte política ao bucket:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagPolicyACL", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": "s3:GetBucketAcl",

56

https://docs.aws.amazon.com/IAM/latest/UserGuide/

https://docs.aws.amazon.com/IAM/latest/UserGuide/

AWS Resource Groups Guia do usuárioAvaliar a conformidade de uma conta

"Resource": "arn:aws:s3:::your-bucket-name" }, { "Sid": "TagPolicyBucketDelivery", "Effect": "Allow", "Principal": { "Service": [ "tagpolicies.tag.amazonaws.com" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::your-bucket-name/AwsTagPolicies/your-org-id/*" } ]}

Avaliar a conformidade de uma contaVocê pode avaliar a conformidade de uma conta na sua organização com a política de tag efetiva.

Important

Os recursos sem tag não são exibidos como incompatíveis nos resultados.

A política de tags efetiva especifica as regras de atribuição de tags que se aplicam a uma conta. É aagregação de todas as políticas de tag que a conta herda, além de qualquer política de tag diretamenteanexada à conta. Quando você anexa uma política de tags à raiz da organização, ela se aplica a todas ascontas na organização. Quando você anexa uma política de tag a uma unidade organizacional (UO), ela seaplica a todas as contas e OUs que pertencem à UO.

Note

Se você ainda não criou políticas de tag, consulte Conceitos básicos das políticas de tag no Guiado usuário do AWS Organizations.

Para encontrar tags incompatíveis, você deve ter as seguintes permissões:

• organizations:DescribeEffectivePolicy

• tag:GetResources

• tag:TagResources

• tag:UntagResources

Como avaliar a conformidade de uma conta com a política de tag efetiva (console)

1. Enquanto estiver conectado à conta cuja conformidade você deseja verificar, abra o console do AWSResource Groups e, em seguida, no painel de navegação, escolha Tag policies (Políticas de tag).

Link direto: Console de políticas de tag2. A seção Effective tag policy (Política de tag efetiva) mostra quando a política foi atualizada pela última

vez e as chaves de tag definidas. Você pode expandir uma chave de tag para ver informações sobreseus valores, tratamento de maiúsculas e minúsculas e se os valores são aplicados para tipos derecursos específicos.

Note

Se você estiver conectado à conta de gerenciamento, será necessário escolher uma contapara ver sua política efetiva e visualizar informações de conformidade.

57

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-effective.html

https://docs.aws.amazon.com/organizations/latest/userguide/tag-policies-getting-started.html



https://console.aws.amazon.com/resource-groups/tag-policies/

AWS Resource Groups Guia do usuárioAvaliar a conformidade de uma conta

3. Na seção Recursos com tags incompatíveis, especifique qual região procurar tags incompatíveis.Você também pode pesquisar por tipo de recurso. Escolha Search resources (Pesquisar recursos).

Os resultados em tempo real são mostrados na seção Search results (Resultados da pesquisa). Paraalterar o número de resultados retornados por página ou as colunas a serem exibidas, escolha o ícone

de configurações ( ).4. Nos resultados da pesquisa, selecione um recurso com tags incompatíveis.5. Na caixa de diálogo que lista as tags do recurso, escolha o hiperlink para abrir o serviço da AWS em

que o recurso foi criado. Nesse console, corrija a tag incompatível.

Tip

Se você não tiver certeza de quais tags não são compatíveis, acesse a seção Política de tagefetiva da conta no console do Grupos de recursos. É possível expandir uma chave de tagpara visualizar suas regras de atribuição de tags.

6. Repita o processo de localizar e corrigir tags até que os recursos da conta com a qual você sepreocupa estejam em conformidade em cada região.

Como localizar tags incompatíveis (AWS CLI, API da AWS)

Use os seguintes comandos e operações para encontrar tags incompatíveis:

• AWS CLI:• aws resourcegroupstaggingapi get-resources;• aws resourcegroupstaggingapi tag-resources• aws resourcegroupstaggingapi untag-resources

Para obter o procedimento completo para usar políticas de tag no AWS CLI, consulte Usar políticas detag no AWS CLI no Guia do usuário do AWS Organizations.

• API AWS:• GetResources• TagResources• UntagResources

O que fazer em seguida

A AWS recomenda repetir o processo de localizar e corrigir problemas de conformidade. Continue até queos recursos da conta da com os quais você se preocupa estejam em conformidade com a política de tagefetiva em cada região.

Encontrar e corrigir tags incompatíveis é um processo iterativo por vários motivos, incluindo o seguinte:

• O uso de políticas de tag pela sua organização pode evoluir ao longo do tempo.• A alteração na sua organização leva tempo para ser aplicada ao criar recursos.• A conformidade pode ser alterada sempre que um novo recurso for criado ou quando novas tags forem

atribuídas a um recurso.• A política de tag efetiva de uma conta é atualizada sempre que uma política de tag é anexada a ela ou

desanexada dela. A política de tag efetiva também é atualizada sempre que ocorrem alterações paramarcar as políticas herdadas pela conta.

Se você estiver conectado como a conta de gerenciamento na organização, também poderá gerar umrelatório. Esse relatório mostra informações sobre todos os recursos marcados nas contas da organização.Para obter informações, consulte Avaliar a conformidade em toda a organização (p. 59).

58

https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/get-resources.html

https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/tag-resources.html

https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/untag-resources.html

https://docs.aws.amazon.com/organizations/latest/userguide/tag-policy-cli.html


https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_TagResources.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_UntagResources.html

AWS Resource Groups Guia do usuárioAvaliar a conformidade em toda a organização

Avaliar a conformidade em toda a organizaçãoVocê pode gerar um relatório que lista todos os recursos com tags em contas em toda a organização e secada recurso é compatível com a política de tag efetiva.

Important

Os recursos sem tag não são exibidos como incompatíveis nos resultados.

Você pode gerar o relatório a partir da conta de gerenciamento da sua organização somente na região us-east-1, e ele deve ter acesso a um bucket do Amazon S3 na região Leste dos EUA (Norte da Virgínia). Obucket deve ter uma política de bucket anexada, conforme mostrado na Política de Bucket do Amazon S3para armazenamento de relatórios (p. 56).

Para gerar um relatório de conformidade em toda a organização, você deve ter as seguintes permissões:

• organizations:DescribeEffectivePolicy

• tag:StartReportCreation

• tag:DescribeReportCreation

• tag:GetComplianceSummary

Para gerar um relatório de conformidade de toda a organização (console)

1. No painel de navegação do console do AWS Resource Groups, escolha Tag policies (Políticas de tag).

Link direto: Console de políticas de tag2. No painel Tag policies (Políticas de tag), escolha a guia Organization root (Raiz da organização).3. Próximo à parte inferior da página, escolha Generate report (Gerar relatório).4. Na tela Generate report (Gerar relatório), especifique onde armazenar o relatório.5. Escolha Start exporting (Iniciar exportação).

Quando o relatório estiver concluído, você poderá fazer download dele na seção Noncompliance report(Relatório de não conformidade) na guia Organization root (Raiz da organização).

Veja a seguir um trecho do relatório de exemplo:

Notes

A conformidade em toda a organização é avaliada a cada 48 horas. Isso resulta no seguinte:

• Pode levar até 48 horas para que as alterações em uma política de tag ou recursos sejamrefletidas no relatório de conformidade de toda a organização. Por exemplo, suponha que vocêtenha uma política de tag que define uma nova tag padronizada para um tipo de recurso. Osrecursos desse tipo que não têm essa tag são mostrados como compatíveis no relatório por até48 horas.

59


https://console.aws.amazon.com/resource-groups/tag-policies/

AWS Resource Groups Guia do usuárioSegurança

• Embora você possa gerar o relatório a qualquer momento, os resultados do relatório não sãoatualizados até que a próxima avaliação seja concluída.

• A coluna NoncompliantKeys lista as chaves de tag no recurso que não estão em conformidadecom a política de tag efetiva.

• A coluna KeysWithNonCompliantValues lista as chaves definidas na política efetiva que estãono recurso com o tratamento incorreto de maiúsculas e minúsculas ou valores incompatíveis.

Para gerar um relatório de conformidade de toda a organização (AWS CLI, API da AWS)

Use os seguintes comandos e operações para gerar um relatório de conformidade em toda a organização,verificar seu status e visualizar o relatório:

• AWS CLI:• aws resourcegroupstaggingapi criar-relatório• aws resourcegroupstaggingapi describe-report-creation;• aws resourcegroupstaggingapi resumo-conformidade

Para obter o procedimento completo para usar políticas de tag na AWS CLI, consulte Usar políticas detag na AWS CLI no Guia do usuário do AWS Organizations.

• API AWS:• StartReportCreation• DescribeReportCreation• GetComplianceSummary

Segurança em AWS Resource GroupsA segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiaráde um datacenter e de uma arquitetura de rede criados para atender aos requisitos das empresas com asmaiores exigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidadecompartilhada descreve isto como segurança da nuvem e segurança na nuvem:

• Segurança da nuvem – a AWS é responsável pela proteção da infraestrutura que executa serviçosda AWS na nuvem da AWS. A AWS também fornece serviços que você pode usar com segurança.Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como partedos programas de conformidade da AWS. Para saber mais sobre os programas de conformidadeque se aplicam ao AWS Resource Groups, consulte Serviços da AWS no escopo pelo programa deconformidade.

• Segurança na nuvem – Sua responsabilidade é determinada pelo serviço da AWS que você usa. Vocêtambém é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos desua empresa e as leis e regulamentos aplicáveis.

Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar oGrupos de recursos. Os tópicos a seguir mostram como configurar o Grupos de recursos para atender aosseus objetivos de segurança e de conformidade. Você também aprenderá a usar outros serviços da AWSque ajudam a monitorar e proteger os recursos do Grupos de recursos.

Tópicos• Proteção de dados no AWS Resource Groups (p. 61)• Identity and Access Management para o AWS Resource Groups (p. 62)• Registro em log e monitoramento no Grupos de recursos (p. 73)

60

https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/start-report-creation.html

https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/describe-report-creation.html

https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/get-compliance-summary.html



https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_StartReportCreation.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_DescribeReportCreation.html

https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetComplianceSummary.html

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/


AWS Resource Groups Guia do usuárioProteção de dados

• Validação de conformidade do Grupos de recursos (p. 76)• Resiliência no Grupos de recursos (p. 76)• Segurança da infraestrutura no Grupos de recursos (p. 77)• Práticas recomendadas de segurança do Grupos de recursos (p. 77)

Proteção de dados no AWS Resource GroupsThe AWS shared responsibility model applies to data protection in AWS Resource Groups. As described inthis model, AWS is responsible for protecting the global infrastructure that runs all of the AWS Cloud. Youare responsible for maintaining control over your content that is hosted on this infrastructure. This contentincludes the security configuration and management tasks for the AWS services that you use. For moreinformation about data privacy, see the Data Privacy FAQ. For information about data protection in Europe,see the AWS Shared Responsibility Model and GDPR blog post on the AWS Security Blog.

For data protection purposes, we recommend that you protect AWS account credentials and set upindividual user accounts with AWS Identity and Access Management (IAM). That way each user is givenonly the permissions necessary to fulfill their job duties. We also recommend that you secure your data inthe following ways:

• Use multi-factor authentication (MFA) with each account.• Use SSL/TLS to communicate with AWS resources. We recommend TLS 1.2 or later.• Set up API and user activity logging with AWS CloudTrail.• Use AWS encryption solutions, along with all default security controls within AWS services.• Use advanced managed security services such as Amazon Macie, which assists in discovering and

securing personal data that is stored in Amazon S3.• If you require FIPS 140-2 validated cryptographic modules when accessing AWS through a command

line interface or an API, use a FIPS endpoint. For more information about the available FIPS endpoints,see Federal Information Processing Standard (FIPS) 140-2.

We strongly recommend that you never put sensitive identifying information, such as your customers'account numbers, into free-form fields such as a Name field. This includes when you work with Gruposde recursos or other AWS services using the console, API, AWS CLI, or AWS SDKs. Any data that youenter into Grupos de recursos or other services might get picked up for inclusion in diagnostic logs. Whenyou provide a URL to an external server, don't include credentials information in the URL to validate yourrequest to that server.

Criptografia de dadosEm comparação com outros serviços da AWS, o AWS Resource Groups tem uma superfície de ataquemínima, porque não fornece uma maneira de alterar, adicionar ou excluir recursos da AWS, exceto paragrupos. O Grupos de recursos coleta as seguintes informações específicas do serviço.

• Nomes de grupos (não criptografados, não privados)• Descrições de grupos (não criptografados, mas privados)• Recursos de membro em grupos (esses são armazenados em logs do , que não são criptografados)

Criptografia em repouso

Não há outras maneiras de isolar o tráfego de serviço ou de rede específico para o Grupos de recursos.Se aplicável, use um isolamento específico do AWS. Você pode usar a API e o console do Grupos derecursos em uma VPC para ajudar a maximizar a segurança da privacidade e da infraestrutura.

61


http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/compliance/fips/

AWS Resource Groups Guia do usuárioIdentity and Access Management

Criptografia em trânsitoOs dados do AWS Resource Groups são criptografados em trânsito para o banco de dados interno doserviço para backup. Isso não é configurável pelo usuário.

Gerenciamento de chavesO AWS Resource Groups AWS Key Management Service não está integrado ao no momento e não écompatível com as chaves mestras de cliente (CMKs).

Privacidade do tráfego entre redesO AWS Resource Groups Grupos de recursos usa HTTPS para todas as transmissões entre usuários doAWS e o Grupos de recursos. O usa Transport Layer Security (TLS) 1.2, mas também oferece suporte aTLS 1.0 e 1.1.

Identity and Access Management para o AWSResource GroupsO AWS Identity and Access Management (IAM) é um serviço da AWS que ajuda um administrador acontrolar com segurança o acesso aos recursos da AWS. Os administradores do IAM controlam quempode ser autenticado (conectado) e autorizado (ter permissões) para usar os recursos do Grupos derecursos. O IAM é um serviço da AWS que pode ser usado sem custo adicional.

Tópicos• Audience (p. 62)• Autenticação com identidades (p. 63)• Gerenciamento do acesso usando políticas (p. 64)• Como o Grupos de recursos funciona com o IAM (p. 66)• Exemplos de políticas baseadas em identidade do AWS Resource Groups (p. 69)• Solução de problemas de identidade e acesso do AWS Resource Groups (p. 71)

AudienceO uso do AWS Identity and Access Management (IAM) varia, dependendo do trabalho que você realiza noGrupos de recursos.

Usuário do serviço – se você usar o Grupos de recursos para fazer sua tarefa, o administrador forneceráas credenciais e as permissões de que você precisa. À medida que usar mais recursos do Grupos derecursos para fazer seu trabalho, você poderá precisar de permissões adicionais. Entender como o acessoé gerenciado pode ajudar você a solicitar as permissões corretas ao seu administrador. Se não for possívelacessar um recurso no Grupos de recursos, consulte Solução de problemas de identidade e acesso doAWS Resource Groups (p. 71).

Administrador do serviço – se você for o responsável pelos recursos do Grupos de recursos em suaempresa, você provavelmente terá acesso total ao Grupos de recursos. Seu trabalho é determinar quaisrecursos do Grupos de recursos seus funcionários devem acessar. Assim, é necessário enviar solicitaçõesao administrador do IAM para alterar as permissões dos usuários de seu serviço. Revise as informaçõesnesta página para entender os conceitos básicos do IAM. Para saber mais sobre como sua empresapode usar o IAM com o Grupos de recursos, consulte Como o Grupos de recursos funciona com oIAM (p. 66).

Administrador do IAM – se você é um administrador do IAM, talvez queira saber detalhes sobre como podeescrever políticas para gerenciar o acesso ao Grupos de recursos. Para visualizar exemplos de políticas

62


baseadas em identidade do Grupos de recursos que podem ser usadas no IAM, consulte Exemplos depolíticas baseadas em identidade do AWS Resource Groups (p. 69).

Autenticação com identidadesA autenticação é a forma como você faz login na AWS usando suas credenciais de identidade. Para obtermais informações sobre como fazer login usando o Console de gerenciamento da AWS, consulte A páginade login e do console do IAM no Guia do usuário do IAM.

Você deve ser autenticado (fazer login na AWS) como o Usuário raiz da conta da AWS, um usuário doIAM, ou assumindo uma função do IAM. Também é possível usar a autenticação de logon único da suaempresa, ou até mesmo fazer login usando o Google ou o Facebook. Nesses casos, seu administradorconfigurou anteriormente a federação de identidades usando funções do IAM. Ao acessar a AWS usandocredenciais de outra empresa, você estará assumindo uma função indiretamente.

Para fazer login diretamente no Console de gerenciamento da AWS, use sua senha com o e-mail dousuário raiz ou seu nome de usuário do IAM. É possível acessar a AWS de maneira programática usandoseu usuário raiz ou as chaves de acesso do usuário do IAM. A AWS fornece ferramentas do SDK ou dalinha de comando para assinar sua solicitação de forma criptográfica usando suas credenciais. Se vocênão utilizar ferramentas da AWS, cadastre a solicitação você mesmo. Faça isso usando o Signature versão4, um protocolo para autenticação de solicitações de API de entrada. Para obter mais informações sobre aautenticação de solicitações, consulte Processo de cadastramento do Signature versão 4 na AWS GeneralReference.

Independentemente do método de autenticação usado, também pode ser exigido que você forneçainformações adicionais de segurança. Por exemplo, a AWS recomenda o uso da autenticação multifator(MFA) para aumentar a segurança de sua conta. Para saber mais, consulte Usar a autenticação multifator(MFA) na AWS no Guia do usuário do IAM.

Usuário raiz da conta da AWSAo criar uma conta da AWS, você começa com uma única identidade de login que tenha acesso total atodos os recursos e serviços da AWS na conta. Essa identidade é chamada de AWS da conta da usuárioraiz e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta.Recomendamos que não use o usuário raiz para suas tarefas diárias, nem mesmo as administrativas.Em vez disso, siga as melhores práticas de uso do usuário raiz somente para criar seu primeiro usuáriodo IAM. Depois, armazene as credenciais usuário raiz com segurança e use-as para executar apenasalgumas tarefas de gerenciamento de contas e de serviços.

Grupos e usuários do IAMUm usuário do IAM é uma identidade em sua conta da AWS que tem permissões específicas para umaúnica pessoa ou um único aplicativo. Um usuário do IAM pode ter credenciais de longo prazo, como umnome de usuário e uma senha ou um conjunto de chaves de acesso. Para saber como gerar chaves deacesso, consulte Gerenciar chaves de acesso para usuários do IAM no Guia do usuário do IAM. Ao gerarchaves de acesso para um usuário do IAM, visualize e salve o par de chaves de maneira segura. Não serápossível recuperar a chave de acesso secreta futuramente. Em vez disso, você deverá gerar outro par dechaves de acesso.

Um grupo do IAM é uma identidade que especifica uma coleção de usuários do IAM. Não é possívelfazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários deuma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Porexemplo, você pode ter um grupo chamado Administradores do IAM e atribuir a esse grupo permissõespara administrar recursos do IAM.

Usuários são diferentes de funções. Um usuário é exclusivamente associado a uma pessoa ou a umaplicativo, mas uma função pode ser assumida por qualquer pessoa que precisar dela. Os usuários têmcredenciais permanentes de longo prazo, mas as funções fornecem credenciais temporárias. Para sabermais, consulte Quando criar um usuário do IAM (em vez de uma função) no Guia do usuário do IAM.

63

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose


Funções do IAM

Uma função do IAM é uma identidade dentro de sua conta da AWS que tem permissões específicas.Ela é semelhante a um usuário do IAM, mas não está associada a uma pessoa específica. É possívelassumir temporariamente uma função do IAM no Console de gerenciamento da AWS alternando funções.É possível assumir uma função chamando uma operação de API da AWS CLI ou da AWS, ou usando umURL personalizado. Para obter mais informações sobre os métodos para o uso de funções, consulte Usarfunções do IAM no Guia do usuário do IAM.

As funções do IAM com credenciais temporária são úteis nas seguintes situações:

• Permissões temporárias para usuários do IAM – um usuário do IAM pode assumir uma função do IAMpara obter temporariamente permissões diferentes para uma tarefa específica.

• Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidadesexistentes do AWS Directory Service, do diretório de usuário da sua empresa ou de um provedor deidentidades da Web. Estes são conhecidos como usuários federados. A AWS atribui uma função a umusuário federado quando o acesso é solicitado por meio de um provedor de identidades. Para obter maisinformações sobre usuários federados, consulte Usuários federados e funções no Guia do usuário doIAM.

• Acesso entre contas – é possível usar uma função do IAM para permitir que alguém (um principalconfiável) em outra conta acesse recursos em sua conta. As funções são a principal forma de concederacesso entre contas. No entanto, alguns serviços da AWS permitem que você anexe uma políticadiretamente a um recurso (em vez de usar uma função como proxy). Para saber a diferença entrefunções e políticas baseadas em recurso para acesso entre contas, consulte Como as funções do IAMdiferem das políticas baseadas em recurso no Guia do usuário do IAM.

• Acesso a serviços da AWS – Uma função de serviço é uma função do IAM que um serviço assumepara realizar ações em seu nome na sua conta. Ao configurar alguns ambientes de serviço da AWS,você deve definir uma função a ser assumida pelo serviço. Essa função de serviço deve incluir todasas permissões necessárias para o serviço acessar os recursos da AWS de que precisa. As funções deserviço variam de acordo com o serviço, mas muitas permitem que você escolha as permissões, desdeque atenda aos requisitos documentados para esse serviço. As funções de serviço fornecem acessoapenas dentro de sua conta e não podem ser usadas para conceder acesso a serviços em outrascontas. Você pode criar, modificar e excluir uma função de serviço no IAM. Por exemplo, você podecriar uma função que permita que Amazon Redshift acesse um bucket do Amazon S3 em seu nome ecarregue dados desse bucket em um cluster Amazon Redshift. Para obter mais informações, consulteCriar uma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.

• Aplicativos em execução no Amazon EC2 –Você pode usar uma função do IAM para gerenciarcredenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e quefazem solicitações de API da AWS CLI ou AWS. É preferível fazer isso do que armazenar chaves deacesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, crie um perfil de instância que esteja anexado à instância. Um perfilde instância contém a função e permite que programas que estão em execução na instância do EC2obtenham credenciais temporárias. Para mais informações, consulte Uso de uma função do IAM paraconceder permissões aos aplicativos em execução nas instâncias do Amazon EC2 no Guia do usuáriodo IAM.

Para saber se você deve usar funções do IAM, consulte Quando criar uma função do IAM (em vez de umusuário) no Guia do usuário do IAM.

Gerenciamento do acesso usando políticasVocê controla o acesso na AWS criando políticas e anexando-as às identidades do IAM ou aos recursosda AWS. Uma política é um objeto na AWS que, quando associado a uma identidade ou a um recurso,define suas permissões. A AWS avalia essas políticas quando uma entidade (usuário raiz, usuário doIAM ou função do IAM) faz uma solicitação. As permissões nas políticas determinam se a solicitação será

64

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role


permitida ou negada. A maioria das políticas são armazenadas na AWS como documentos JSON. Paraobter mais informações sobre a estrutura e o conteúdo de documentos de políticas JSON, consulte Visãogeral de políticas JSON no Guia do usuário do IAM.

Um administrador do IAM pode usar políticas para especificar quem tem acesso aos recursos da AWS equais ações essas pessoas podem executar nesses recursos. Cada entidade do IAM (usuário ou função)começa sem permissões. Em outras palavras, por padrão, os usuários não podem fazer nada, nem mesmoalterar sua própria senha. Para dar permissão a um usuário para fazer algo, um administrador deve anexaruma política de permissões ao usuário. Ou o administrador pode adicionar o usuário a um grupo que tenhaas permissões pretendidas. Quando um administrador concede permissões a um grupo, todos os usuáriosdesse grupo recebem essas permissões.

As políticas do IAM definem permissões para uma ação, independentemente do método usadopara executar a operação. Por exemplo, suponha que você tenha uma política que permite a açãoiam:GetRole. Um usuário com essa política pode obter informações de funções do Console degerenciamento da AWS, da AWS CLI ou da API da AWS.

Políticas com base em identidadeAs políticas baseadas em identidade são documentos JSON de políticas de permissões que você podeanexar a uma entidade, como um usuário, função ou grupo do IAM. Essas políticas controlam quais açõescada identidade pode realizar, em quais recursos e em que condições. Para saber como criar uma políticabaseada em identidade, consulte Criar políticas do IAM no Guia do usuário do IAM.

As políticas baseadas em identidade podem ser categorizadas ainda mais como políticas em linha oupolíticas gerenciadas. As políticas em linha são anexadas diretamente a um único usuário, grupo oufunção. As políticas gerenciadas são políticas independentes que podem ser anexadas a vários usuários,grupos e funções em sua conta da AWS. As políticas gerenciadas incluem políticas gerenciadas pela AWSe políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou umapolítica em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do usuário doIAM.

Políticas baseadas em recursosPolíticas baseadas em recursos são documentos de política JSON que você anexa a um recurso, comoum bucket do Amazon S3. Os administradores do serviço podem usar essas políticas para definir quaisações um principal especificado (função, usuário ou membro da conta) pode executar nesse recurso e sobquais condições. As políticas baseadas em recurso são políticas em linha. Não há políticas baseadas emrecurso gerenciadas.

Listas de controle de acesso (ACLs)As listas de controle de acesso (ACLs) são um tipo de política que controla quais principais (membros,usuários ou funções da conta) têm permissões para acessar um recurso. As ACLs são semelhantes àspolíticas baseadas em recurso, embora não usem o formato de documento de política JSON. O AmazonS3, o AWS WAF e a Amazon VPC são exemplos de serviços que oferecem suporte a ACLs. Para sabermais sobre as ACLs, consulte Visão geral da lista de controle de acesso (ACL) no Guia do desenvolvedordo Amazon Simple Storage Service.

Outros tipos de políticaA AWS oferece suporte a tipos de política menos comuns. Esses tipos de política podem definir o máximode permissões concedidas a você pelos tipos de política mais comuns.

• Limites de permissões – um limite de permissões é um recurso avançado no qual você define omáximo de permissões que uma política baseada em identidade pode conceder a uma entidade doIAM (usuário ou função do IAM). É possível definir um limite de permissões para uma entidade. Aspermissões resultantes são a interseção das políticas baseadas em identidade da entidade e seuslimites de permissões. As políticas baseadas em recurso que especificam o usuário ou a função no

65

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html


campo Principal não são limitadas pelo limite de permissões. Uma negação explícita em qualqueruma dessas políticas substitui a permissão. Para obter mais informações sobre limites de permissões,consulte Limites de permissões para entidades do IAM no Guia do usuário do IAM.

• Políticas de controle de serviço (SCPs – Service control policies) – SCPs são políticas JSON queespecificam o máximo de permissões para uma organização ou unidade organizacional (UO) noAWS Organizations. O AWS Organizations é um serviço para agrupamento e gerenciamento centraldas várias contas da AWS que sua empresa possui. Se você habilitar todos os recursos em umaorganização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas ascontas. O SCP limita as permissões para entidades em contas-membro, incluindo cada Usuário raizda conta da AWS. Para obter mais informações sobre Organizações e SCPs, consulte Como SCPsfuncionam no Guia do usuário do AWS Organizations.

• Políticas de sessão – as políticas de sessão são políticas avançadas que você transmite como umparâmetro quando cria de forma programática uma sessão temporária para uma função ou um usuáriofederado. As permissões da sessão resultante são a interseção das políticas baseadas em identidadedo usuário ou da função e das políticas de sessão. As permissões também podem ser provenientes deuma política baseada em recurso. Uma negação explícita em qualquer uma dessas políticas substitui apermissão. Para obter mais informações, consulte Políticas de sessão no Guia do usuário do IAM.

Vários tipos de políticaQuando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender aspermissões resultantes. Para saber como a AWS determina se deve permitir uma solicitação quandovários tipos de política estão envolvidos, consulte Lógica de avaliação de políticas no Guia do usuário doIAM.

Como o Grupos de recursos funciona com o IAMAntes de usar o IAM para gerenciar o acesso ao Grupos de recursos, entenda quais recursos do IAM estãodisponíveis para uso com o Grupos de recursos. Para obter uma visão de alto nível de como o Grupos derecursos e outros serviços da AWS funcionam com o IAM, consulte Serviços da AWS que funcionam como IAM no Guia do usuário do IAM.

Tópicos• Políticas baseadas em identidade do Grupos de recursos (p. 66)• Políticas baseadas em recursos (p. 68)• Autorização baseada em tags do Grupos de recursos (p. 68)• Funções do IAM do Grupos de recursos (p. 68)

Políticas baseadas em identidade do Grupos de recursosCom as políticas baseadas em identidade do IAM, você pode especificar ações permitidas ou negadase recursos, bem como as condições sob as quais as ações são permitidas ou negadas. O Grupos derecursos oferece suporte a ações, recursos e chaves de condição específicos. Para saber mais sobretodos os elementos que você usa em uma política JSON, consulte Referência de elementos de políticaJSON do IAM no Guia do usuário do IAM.

Actions

O elemento Action de uma política baseada em identidade do IAM descreve a ação ou ações específicasque serão permitidas ou negadas pela política. As ações de política geralmente têm o mesmo nome quea operação de API da AWS associada. A ação é usada em uma política para conceder permissões paraexecutar a operação associada.

Ações políticas em Grupos de recursos use o seguinte prefixo antes da ação: resource-groups:. TagEditor ações são realizadas na consola, mas têm o prefixo resource-explorer nas entradas de registo.

66

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html


Por exemplo, para conceder a alguém permissão para criar um Grupos de recursos grupo com o Gruposde recursos CreateGroup operação API, inclui a resource-groups:CreateGroup ação na suapolítica. As declarações de política devem incluir um elemento Action ou NotAction. O Grupos derecursos define seu próprio conjunto de ações que descrevem as tarefas que podem ser executadas comesse serviço.

Para especificar vários Grupos de Recursos e Tag Editor numa única afirmação, separe-as com vírgulasda seguinte forma:

"Action": [ "resource-groups:action1", "resource-groups:action2", "resource-explorer:action3"

Você também pode especificar várias ações usando caracteres curinga (*). Por exemplo, para especificartodas as ações que começam com a palavra List, inclua a seguinte ação.

"Action": "resource-groups:List*"

Para ver uma lista de ações da Grupos de recursos, consulte Ações, recursos e chaves de condição para oAWS Resource Groups no Guia do usuário do IAM.

Resources

O elemento Resource especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devemincluir um elemento Resource ou um elemento NotResource. Você especifica um recurso usando umARN ou usando o caractere curinga (*) para indicar que a instrução se aplica a todos os recursos.

A única Grupos de recursos é um recurso grupo. O recurso de grupo tem um ARN no seguinte formato:

arn:${Partition}:resource-groups:${Region}:${Account}:group/${GroupName}

Para obter mais informações sobre o formato de ARNs, consulte Nomes de recursos da Amazon (ARNs) enamespaces de serviços da AWS.

Por exemplo, para especificar o my-test-group do grupo de recursos da sua declaração, use o seguinteARN:

"Resource": "arn:aws:resource-groups:us-west-2:123456789012:group/my-test-group"

Para especificar todos os grupos que pertencem a uma conta específica, utilize o carácter universal (*):

"Resource": "arn:aws:resource-groups:us-west-2:123456789012:group/*"

Algumas ações do Grupos de recursos, como as ações para a criação de recursos, não podem serexecutadas em um recurso específico. Nesses casos, você deve usar o caractere curinga (*).

"Resource": "*"

Algumas Grupos de recursos As ações API podem envolver vários recursos. Por exemplo, DeleteGroupelimina grupos, por isso IAM O utilizador tem de ter permissões para eliminar um grupo específico ou todosos grupos. Para especificar vários recursos em uma única instrução, separe os ARNs com vírgulas.

"Resource": [ "resource1", "resource2"

67






Para ver uma lista de Grupos de recursos tipos de recursos e os seus ARN, e saiba com que ações podeespecificar o ARN de cada recurso, consulte Acções, Recursos e Teclas de Condição para AWS ResourceGroups na Guia do usuário do IAM.

Chaves de condição

O elemento Condition (ou bloco de Condition) permite que você especifique condições nas quaisuma instrução está em vigor. O elemento Condition é opcional. É possível criar expressões condicionaisque usam operadores de condição, como “igual a” ou “menor que”, para fazer a condição da políticacorresponder aos valores na solicitação.

Se você especificar vários elementos Condition em uma instrução ou várias chaves em um únicoelemento Condition, a AWS os avaliará usando uma operação lógica AND. Se você especificar váriosvalores para uma única chave de condição, a AWS avaliará a condição usando uma operação lógica OR.Todas as condições devem ser atendidas para que as permissões da instrução sejam concedidas.

Você também pode usar variáveis de espaço reservado ao especificar as condições. Por exemplo, vocêpode conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcadocom seu nome de usuário do IAM. Para obter mais informações, consulte Elementos de política do IAM:variáveis e tags no Guia do usuário do IAM.

A Grupos de recursos define seu próprio conjunto de chaves de condição e também oferece suporte aouso de algumas chaves de condição globais. Para consultar todas as chaves de condição global da AWS,consulte Chaves de contexto de condição global da AWS no Guia do usuário do IAM.

Para ver uma lista de Grupos de recursos chaves de condições e aprenda com que ações e recursos podeusar uma chave de condições, consulte Acções, Recursos e Teclas de Condição para AWS ResourceGroups na Guia do usuário do IAM.

Examples

Para visualizar exemplos de políticas baseadas em identidade do Grupos de recursos, consulte Exemplosde políticas baseadas em identidade do AWS Resource Groups (p. 69).

Políticas baseadas em recursosO Grupos de recursos não oferece suporte a políticas baseadas em recurso.

Autorização baseada em tags do Grupos de recursosPode anexar etiquetas a grupos em Grupos de recursosou passar etiquetas num pedido para Gruposde recursos. Para controlar o acesso baseado em tags, forneça informações sobre as tags noelemento de condição de uma política usando as chaves de condição aws:ResourceTag/key-name,aws:RequestTag/key-name ou aws:TagKeys. Pode aplicar etiquetas a um grupo quando estivera criar ou atualizar o grupo. Para mais informações sobre a marcação de um grupo em Grupos derecursos, consulte Criar uma consulta e um grupo (console) (p. 30) e Atualizar grupos noAWS ResourceGroups (p. 35) neste guia.

Para visualizar um exemplo de política baseada em identidade que visa limitar o acesso a um recursobaseado nas tags desse recurso, consulte Ver grupos com base em etiquetas (p. 71).

Funções do IAM do Grupos de recursosmáquinas IAM função é uma entidade dentro do seu AWS conta que tem permissões específicas. Gruposde recursos não tem ou usa funções de serviço.

Usar credenciais temporárias com o Grupos de recursos

Em Grupos de recursos, pode utilizar credenciais temporárias para iniciar sessão com a federação,assumir uma IAM função ou assumir uma função entre contas. As credenciais de segurança temporáriassão obtidas chamando operações da API do AWS STS, como AssumeRole ou GetFederationToken.

68



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html


Funções vinculadas ao serviço

Funções vinculadas ao serviço permitem que os serviços da AWS acessem recursos em outros serviçospara concluir uma ação em seu nome.

Grupos de recursos não tem ou usa funções ligadas ao serviço.

Funções de serviço

Esse recurso permite que um serviço assuma uma função de serviço em seu nome.

Grupos de recursos não tem ou usa funções de serviço.

Exemplos de políticas baseadas em identidade do AWSResource GroupsPor padrão, os usuários e as funções do IAM não têm permissão para criar ou modificar recursos doGrupos de recursos. Eles também não podem executar tarefas usando o Console de gerenciamentoda AWS, a AWS CLI ou uma API da AWS. Um administrador do IAM deve criar políticas do IAM queconcedam aos usuários e funções permissão para executarem operações da API específicas nos recursosespecificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos doIAM que exigem essas permissões.

Para saber como criar uma política baseada em identidade do IAM usando esses exemplos dedocumentos de política JSON, consulte Criar políticas no guia JSON no Guia do usuário do IAM.

Tópicos• Melhores práticas de políticas (p. 69)• Usando o botão Grupos de recursos Consola e API (p. 70)• Permitir que os usuários visualizem suas próprias permissões (p. 70)• Ver grupos com base em etiquetas (p. 71)

Melhores práticas de políticas

As políticas baseadas em identidade são muito eficientes. Elas determinam se alguém pode criar, acessarou excluir recursos do Grupos de recursos em sua conta. Essas ações podem incorrer em custos para suaconta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

• Comece usando políticas gerenciadas pela AWS – para começar a usar o Grupos de recursosrapidamente, use as políticas gerenciadas pela AWS para conceder a seus funcionários as permissõesde que precisam. Essas políticas já estão disponíveis em sua conta e são mantidas e atualizadas pelaAWS. Para obter mais informações, consulte Conceitos básicos do uso de permissões com políticasgerenciadas pela AWS no Guia do usuário do IAM.

• Conceder privilégio mínimo – ao criar políticas personalizadas, conceda apenas as permissõesnecessárias para executar uma tarefa. Comece com um conjunto mínimo de permissões e concedapermissões adicionais conforme necessário. Fazer isso é mais seguro do que começar com permissõesque são muito lenientes e tentar restringi-las posteriormente. Para obter mais informações, consulteConceder privilégio mínimo, no Guia do usuário do IAM.

• Habilitar o MFA para operações confidenciais – para segurança adicional, exija que os usuários do IAMusem a autenticação multifator (MFA) para acessar recursos ou operações de API confidenciais. Paraobter mais informações, consulte Usar a autenticação multifator (MFA) na AWS no Guia do usuário doIAM.

• Usar condições de política para segurança adicional – na medida do possível, defina as condições sobas quais suas políticas baseadas em identidade permitem o acesso a um recurso. Por exemplo, você

69

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege



pode gravar condições para especificar um intervalo de endereços IP permitidos do qual a solicitaçãodeve partir. Você também pode escrever condições para permitir somente solicitações em uma dataespecificada ou período ou para exigir o uso de SSL ou MFA. Para obter mais informações, consulteElementos da política JSON do IAM: condição no Guia do usuário do IAM.

Usando o botão Grupos de recursos Consola e API

Para aceder ao AWS Resource Groups e Tag Editor e API, tem de ter um conjunto mínimo de permissões.Essas permissões devem permitir que você liste e visualize detalhes dos recursos do Grupos de recursosem sua conta da AWS. Se criar uma política baseada na identidade que seja mais restritiva do que aspermissões mínimas necessárias, os comandos da consola e da API não funcionarão conforme pretendidopara as entidades (IAM utilizadores ou funções) com essa política.

Para garantir que essas entidades ainda podem utilizar Grupos de recursos, anexe a seguinte política(ou uma política que contenha as permissões listadas na política seguinte) às entidades. Para obter maisinformações, consulte Adicionar permissões a um usuário no Guia do usuário do IAM:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "resource-groups:*", "cloudformation:DescribeStacks", "cloudformation:ListStackResources", "tag:GetResources", "tag:TagResources", "tag:UntagResources", "tag:getTagKeys", "tag:getTagValues", "resource-explorer:List*" ], "Resource": "*" } ]}

Para mais informações sobre como conceder acesso a Grupos de recursos e Tag Editor, consulteConceder permissões para usar o AWS Resource Groups e oTag Editor (p. 26) neste guia.

Permitir que os usuários visualizem suas próprias permissões

Este exemplo mostra como você pode criar uma política que permite que os usuários do IAM visualizemas políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissõespara concluir essa ação no console ou de forma programática usando a AWS CLI ou a API da AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ],

70


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console


"Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

Ver grupos com base em etiquetas

Você pode usar condições em sua política baseada em identidade para controlar o acesso aos recursosdo Grupos de recursos com base em tags. Este exemplo mostra como pode criar uma política que permitavisualizar um grupo. No entanto, a permissão só é concedida se a etiqueta do grupo Owner tem o valor donome de utilizador desse utilizador.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListSpecificGroup", "Effect": "Allow", "Action": "resource-groups:ListGroups", "Resource": "arn:aws:resource-groups::region:account_ID:group/group_name" }, { "Sid": "ViewGroupIfOwner", "Effect": "Allow", "Action": "resource-groups:ListGroups", "Resource": "arn:aws:resource-groups::region:account_ID:group/group_name", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } } ]}

Você pode anexar essa política aos usuários do IAM na sua conta. Se um utilizador tiver o nomerichard-roe tenta ver um Grupos de recursos grupo, o grupo deve ser marcado Owner=richard-roe ou owner=richard-roe. Caso contrário, é-lhe negado o acesso. A chave da tag de condiçãoOwner corresponde a Owner e a owner porque os nomes de chaves de condição não fazem distinçãoentre maiúsculas e minúsculas. Para obter mais informações, consulte IAM Elementos da Política JSON:Condição na Guia do usuário do IAM.

Solução de problemas de identidade e acesso do AWS ResourceGroupsUse as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem serencontrados ao trabalhar com o Grupos de recursos e o IAM.

71




Tópicos• Não tenho autorização para executar uma ação no Grupos de recursos (p. 72)• Não estou autorizado a executar iam:PassRole (p. 72)• Quero visualizar minhas chaves de acesso (p. 72)• Sou administrador e desejo conceder acesso ao Grupos de recursos para outros usuários. (p. 73)• Quero permitir pessoas fora do meu AWS Conta para aceder ao My Grupos de recursos

Grupos (p. 73)

Não tenho autorização para executar uma ação no Grupos de recursos

Se o Console de gerenciamento da AWS informar que você não está autorizado a executar uma ação,você deverá entrar em contato com o administrador para obter assistência. O administrador é a pessoaque forneceu a você o seu nome de usuário e senha.

O seguinte erro de exemplo ocorre quando o mateojackson IAM utilizador tenta utilizar a consola paraver detalhes sobre um grupo, mas não tem resource-groups:ListGroups permissão.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: resource-groups:ListGroups on resource: arn:aws:resource-groups::us-west-2:123456789012:group/my-test-group

Nesse caso, Mateo pede ao administrador para atualizar as políticas dele a fim de obter acesso ao recursomy-test-group usando a ação resource-groups:ListGroups.

Não estou autorizado a executar iam:PassRole

Se você receber uma mensagem de erro informando que você não está autorizado a executar a açãoiam:PassRole, entre em contato com o administrador para obter assistência. O administrador é a pessoaque forneceu a você o seu nome de usuário e senha. Peça a essa pessoa para atualizar suas políticaspara permitir que você passe uma função para o Grupos de recursos.

Alguns serviços da AWS permitem que você passe uma função existente para o serviço, em vez decriar uma nova função de serviço ou função vinculada ao serviço. Para fazer isso, um usuário deve terpermissões para passar a função para o serviço.

O erro de exemplo a seguir ocorre quando uma usuária do IAM chamada marymajor tenta usar o consolepara executar uma ação no Grupos de recursos. No entanto, a ação exige que o serviço tenha permissõesconcedidas por uma função de serviço. Mary não tem permissões para passar a função para o serviço.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Neste caso, Mary pede ao administrador para atualizar suas políticas para permitir que ela execute a açãoiam:PassRole.

Quero visualizar minhas chaves de acesso

Depois de criar suas chaves de acesso de usuário do IAM, é possível visualizar seu ID de chave de acessoa qualquer momento. No entanto, você não pode visualizar sua chave de acesso secreta novamente. Sevocê perder sua chave secreta, crie um novo par de chaves de acesso.

As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo,AKIAIOSFODNN7EXAMPLE) e uma chave de acesso secreta (por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Como um nome de usuário e uma senha, você deve usar o ID da chave deacesso e a chave de acesso secreta em conjunto para autenticar suas solicitações. Gerencie suas chavesde acesso de forma tão segura quanto você gerencia seu nome de usuário e sua senha.

72

AWS Resource Groups Guia do usuárioRegistro em log e monitoramento

Important

Não forneça as chaves de acesso a terceiros, mesmo que seja para ajudar a encontrar seu ID deusuário canônico. Ao fazer isso, você pode dar a alguém acesso permanente à sua conta.

Ao criar um par de chaves de acesso, você é solicitado a guardar o ID da chave de acesso e a chave deacesso secreta em um local seguro. A chave de acesso secreta só está disponível no momento em que écriada. Se você perder sua chave de acesso secreta, você deverá adicionar novas chaves de acesso paraseu usuário do IAM. Você pode ter no máximo duas chaves de acesso. Se você já tiver duas, você deveráexcluir um par de chaves para poder criar um novo. Para visualizar as instruções, consulte Gerenciarchaves de acesso no Guia do usuário do IAM.

Sou administrador e desejo conceder acesso ao Grupos de recursos para outrosusuários.

Para permitir que outros usuários acessem o Grupos de recursos, é necessário criar uma entidade doIAM (usuário ou função) para a pessoa ou o aplicativo que precisa do acesso. Eles usarão as credenciaisdessa entidade para acessar a AWS. Você deve anexar uma política à entidade que concede a eles aspermissões corretas no Grupos de recursos.

Para começar a usar imediatamente, consulte Criar os primeiros usuário e grupo delegados do IAM noGuia do usuário do IAM.

Para mais informações sobre como conceder acesso a Grupos de recursos e Tag Editor, consulteConceder permissões para usar o AWS Resource Groups e oTag Editor (p. 26) neste guia.

Quero permitir pessoas fora do meu AWS Conta para aceder ao My Grupos derecursos Grupos

Você pode criar uma função que os usuários de outras contas ou pessoas fora da sua organização podemusar para acessar seus recursos. Você pode especificar quem é confiável para assumir a função. Paraserviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs),você pode usar essas políticas para conceder às pessoas acesso a seus recursos.

Para saber mais, consulte o seguinte:

• Para saber se o Grupos de recursos oferece suporte a esses recursos, consulte Como o Grupos derecursos funciona com o IAM (p. 66).

• Para saber como conceder acesso aos seus recursos em todas as contas da AWS pertencentes a você,consulte Conceder acesso a um usuário do IAM em outra conta da AWS pertencente a você no Guia dousuário do IAM.

• Para saber como conceder acesso aos seus recursos para contas da AWS de terceiros, consulteConceder acesso a contas da AWS pertencentes a terceiros no Guia do usuário do IAM.

• Para saber como fornecer acesso por meio de federação de identidades, consulte Fornecer acesso ausuários autenticados externamente (federação de identidades) no Guia do usuário do IAM.

• Para saber a diferença entre usar funções e políticas baseadas em recurso para acesso entre contas,consulte Como as funções do IAM diferem de políticas baseadas em recursos no Guia do usuário doIAM.

Registro em log e monitoramento no Grupos derecursosTodos AWS Resource Groups ações são iniciadas AWS CloudTrail.

73

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html



Registro em log de chamadas de API do AWS Resource Groupscom o AWS CloudTrailAWS Resource Groups e Tag Editor estão integrados com AWS CloudTrail, um serviço que forneceum registo das ações realizadas por um utilizador, função ou AWS serviço em Grupos de recursos ouTag Editor. CloudTrail capta todas as chamadas API para Grupos de recursos como eventos, incluindochamadas do Grupos de recursos ou Tag Editor e de chamadas de código para o Grupos de recursosAPIs. Se você criar uma trilha, poderá habilitar a entrega contínua de eventos do CloudTrail a um bucketdo Amazon S3, incluindo eventos do Grupos de recursos. Se não configurar uma trilha, você ainda poderávisualizar os eventos mais recentes no console do CloudTrail em Event history. Com as informaçõescoletadas pelo CloudTrail, você pode determinar a solicitação feita para o Grupos de recursos, o endereçoIP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.

Para saber mais sobre o CloudTrail, consulte o AWS CloudTrail User Guide.

Grupos de recursos Informações em CloudTrail

O CloudTrail está habilitado na sua conta da AWS ao criá-la. Quando a atividade ocorre em Grupos derecursosou na Tag Editor de trabalho, essa atividade é registada num CloudTrail evento juntamente comoutros AWS eventos de serviço em Histórico de eventos. Você pode visualizar, pesquisar e fazer downloadde eventos recentes em sua conta da AWS. Para obter mais informações, consulte Visualizar eventos como histórico de eventos do CloudTrail.

Para obter um registro contínuo de eventos em sua conta da AWS, incluindo eventos para o Grupos derecursos, crie uma trilha. Uma trilha permite CloudTrail para fornecer arquivos de log a um bucket doAmazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilharegistra eventos em log de todas as regiões na partição da AWS e entrega os arquivos de log ao bucket doAmazon S3 que você especificar. Além disso, é possível configurar outros serviços da AWS para analisarmais profundamente e agir sobre os dados de evento coletados nos logs do CloudTrail. Para obter maisinformações, consulte:

• Visão geral da criação de uma trilha• CloudTrail Integrações e serviços suportados• Configurar notificações SNS Amazon para CloudTrail• Receber arquivos de log do CloudTrail de várias regiões e receber arquivos de log do CloudTrail de

várias contas

Todos Grupos de recursos ações são registadas por CloudTrail e são documentados no AWS ResourceGroups Referência API. Grupos de recursos ações em CloudTrail são apresentados como eventoscom o parâmetro de avaliação API resource-groups.amazonaws.com como a sua fonte. Porexemplo, chamadas para o CreateGroup, GetGroupe UpdateGroupQuery na ação geram entradasno CloudTrail ficheiros de registo. Tag Editor ações na consola são registadas por CloudTraile sãoapresentados como eventos com o parâmetro de avaliação API interno resource-explorer como a suafonte.

Cada evento ou entrada no log contém informações sobre quem gerou a solicitação. As informações deidentidade ajudam a determinar:

• Se a solicitação foi feita com credenciais de usuário da raiz ou do IAM.• Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário

federado.• Se a solicitação foi feita por outro serviço da AWS.

Para obter mais informações, consulte Elemento do CloudTrail userIdentity.

74

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/ARG/latest/APIReference/

https://docs.aws.amazon.com/ARG/latest/APIReference/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html


Noções básicas sobre as entradas de arquivo de log do Grupos de recursos

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log em um bucketdo Amazon S3 que você especificar. Os arquivos de log do CloudTrail contêm uma ou mais entradasde log. Um evento representa uma única solicitação de qualquer origem e inclui informações sobre aação solicitada, a data e hora da ação, parâmetros de solicitação, e assim por diante. arquivos de log doCloudTrail não são um rastreamento de pilha ordenada das chamadas da API pública. Assim, elas não sãoexibidas em nenhuma ordem específica.

O exemplo a seguir mostra uma entrada de log do CloudTrail que demonstra a ação CreateGroup.

{"eventVersion":"1.05","userIdentity":{ "type":"AssumedRole", "principalId":"ID number:AWSResourceGroupsUser", "arn":"arn:aws:sts::831000000000:assumed-role/Admin/AWSResourceGroupsUser", "accountId":"831000000000","accessKeyId":"ID number", "sessionContext":{ "attributes":{ "mfaAuthenticated":"false", "creationDate":"2018-06-05T22:03:47Z" }, "sessionIssuer":{ "type":"Role", "principalId":"ID number", "arn":"arn:aws:iam::831000000000:role/Admin", "accountId":"831000000000", "userName":"Admin" } } },"eventTime":"2018-06-05T22:18:23Z","eventSource":"resource-groups.amazonaws.com","eventName":"CreateGroup","awsRegion":"us-west-2","sourceIPAddress":"100.25.190.51","userAgent":"console.amazonaws.com","requestParameters":{ "Description": "EC2 instances that we are using for application staging.", "Name": "Staging", "ResourceQuery": { "Query": "string", "Type": "TAG_FILTERS_1_0" }, "Tags": { "Key":"Phase", "Value":"Stage" } },"responseElements":{ "Group": { "Description":"EC2 instances that we are using for application staging.", "groupArn":"arn:aws:resource-groups:us-west-2:831000000000:group/Staging" "Name":"Staging" }, "resourceQuery": { "Query":"string", "Type":"TAG_FILTERS_1_0" } },"requestID":"de7z64z9-d394-12ug-8081-7zz0386fbcb6","eventID":"8z7z18dz-6z90-47bz-87cf-e8346428zzz3","eventType":"AwsApiCall","recipientAccountId":"831000000000"

75

AWS Resource Groups Guia do usuárioValidação de conformidade

}

Validação de conformidade do Grupos de recursosOs auditores externos avaliam a segurança e a conformidade do AWS Resource Groups como parte devários programas de conformidade da AWS. Estes incluem SOC, PCI, FedRAMP, HIPAA e outros. Gruposde recursos suporta os seguintes programas e regulamentos de conformidade:

• PCI (Payment Card Industry)• Health Insurance Portability and Accountability Act of 1996 (HIPAA – Lei de portabilidade e

responsabilidade de provedores de saúde de 1996 dos EUA).• AWS System and Organization Controls (SOC – Controles do Sistema e da Organização) 1, 2 e 3.• Federal Risk and Authorization Management Program (FedRAMP)• General Data Protection Regulation (GDPR – Regulamento geral de proteção de dados)

Para obter uma lista de serviços da AWS no escopo de programas de conformidade específicos, consulteServiços da AWS em escopo por programa de conformidade. Para obter informações gerais, consulteProgramas de conformidade da AWS.

Você pode fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter maisinformações, consulte Download de relatórios no AWS Artifact.

Sua responsabilidade de conformidade ao usar o Grupos de recursos é determinada pelaconfidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentose leis aplicáveis. A AWS fornece os seguintes recursos para ajudar com a conformidade:

• Guias Quick Start de segurança e conformidade – esses guias de implantação discutem asconsiderações de arquitetura e fornecem etapas para implantação de ambientes de linha de basefocados em conformidade e segurança na AWS.

• Whitepaper Arquitetura para segurança e conformidade com a HIPAA: esse whitepaper descreve comoas empresas podem usar a AWS para criar aplicativos em conformidade com a HIPAA.

• Recursos de conformidade da AWS – esta coleção de manuais e guias pode ser aplicada ao seu setor elocal.

• AWS Config – Esse serviço da AWS avalia até que ponto suas configurações de recursos atendemadequadamente a práticas internas e a diretrizes e regulamentações da indústria.

• AWS Security Hub: esse serviço da AWS fornece uma visão abrangente do estado de sua segurança naAWS que ajuda você a verificar sua conformidade com padrões e práticas recomendadas de segurançado setor.

Resiliência no Grupos de recursosAWS Resource Groups executa cópias de segurança automatizadas para recursos de serviço internos.Estas cópias de segurança não são configuráveis pelo utilizador. As cópias de segurança são encriptadas,tanto em repouso como em trânsito. Grupos de recursos armazena dados do cliente em AmazonDynamoDB.

lá estão AWS a infraestrutura global é construída em torno AWS Regiões e zonas de disponibilidade. AWSAs regiões fornecem várias Zonas de Disponibilidade fisicamente separadas e isoladas, que estão ligadasa redes de baixa latência, alta produtividade e altamente redundantes. Com as zonas de disponibilidade,você pode projetar e operar aplicativos e bancos de dados que executam o failover automaticamente entreas zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis,tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.

76


http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

AWS Resource Groups Guia do usuárioSegurança da infraestrutura

Mesmo uma perda completa de grupos de recursos de utilizadores não resultaria numa perda de dados declientes, porque a maioria dos dados de clientes é replicada em AWS Zonas de Disponibilidade (AZs). Seeliminar grupos acidentalmente, contacte AWS Support Center.

Para obter mais informações sobre regiões e zonas de disponibilidade da AWS, consulte Infraestruturaglobal da AWS.

Segurança da infraestrutura no Grupos de recursosNão existem formas adicionais de isolar o tráfego de rede ou de serviço fornecidos por Grupos derecursos. Se aplicável, utilize AWS-isolamento específico. Você pode usar o Grupos de recursos API econsola num VPC para ajudar a maximizar a segurança da privacidade e da infraestrutura.

Como um serviço gerido, AWS Resource Groups está protegido pelo AWS de segurança global da redeque são descritos no Amazon Web Services: Visão geral dos processos de segurança livro branco.

Use chamadas de API publicadas pela AWS para acessar o Grupos de recursos pela rede. Os clientesdevem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2ou posterior, que Grupos de recursos suporta. Os clientes também devem ter suporte a pacotes decriptografia com sigilo de encaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ouEphemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 eversões posteriores oferece suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave deacesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security TokenService (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

O Grupos de recursos não oferece suporte a políticas baseadas em recurso.

Práticas recomendadas de segurança do Grupos derecursosAs melhores práticas a seguir são diretrizes gerais e não representam uma solução completa desegurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seuambiente, trate-as como considerações úteis em vez de requisitos.

• Use o princípio do menor privilégio para conceder acesso aos grupos. Grupos de recursos suportapermissões de nível de recurso. Conceder acesso a grupos específicos apenas conforme necessáriopara utilizadores específicos. Evite utilizar asteriscos em declarações de políticas que atribuampermissões a todos os utilizadores ou a todos os grupos. Para obter mais informações sobre o menorprivilégio, consulte Concessão de privilégios mínimos na IAM Guia do Utilizador.

• Mantenha as informações privadas fora dos campos públicos. O nome de um grupo é tratado comometadados de serviço. Os nomes de grupo não são encriptados. Não coloque informações sensíveis emnomes de grupos. As descrições do grupo são privadas.

Não coloque informações privadas ou sensíveis em chaves de tags ou valores de tags.• Usar autorização com base na marcação sempre que adequado. Grupos de recursos suporta

autorização com base em tags. Pode etiquetar grupos e, em seguida, atualizar políticas que estejamanexadas a IAM utilizadores e grupos de segurança para definir o seu nível de acesso com base nasetiquetas que são aplicadas a um grupo. Para obter mais informações sobre como usar a autorizaçãocom base em etiquetas, consulte Controlar o acesso a recursos da AWS utilizando etiquetas de recursosna IAM Guia do Utilizador.

Muitos AWS os serviços suportam a autorização com base em tags para os seus recursos. Tenhaem atenção que a autorização baseada em tags pode ser configurada para recursos de membros

77

https://console.aws.amazon.com/support/home#/

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/about-aws/global-infrastructure/

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/

https://docs.aws.amazon.com/STS/latest/APIReference/

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html

AWS Resource Groups Guia do usuárioReferência

num grupo. Se o acesso aos recursos de um grupo for restringido por tags, utilizadores ou gruposnão autorizados poderão não ser capazes de executar ações ou automatização nesses recursos.Por exemplo, se um Amazon EC2 num dos seus grupos é marcada com uma chave de marcador deConfidentiality e um valor de tag de Highe não tem autorização para executar comandos emrecursos marcados Confidentiality:High, as ações ou automatizaçãos que executar na instânciaEC2 falharão, mesmo que as ações sejam bem-sucedidas para outros recursos no grupo de recursos.Para obter mais informações sobre quais os serviços que suportam a autorização baseada em tags paraos seus recursos, consulte AWS Serviços com os quais trabalha IAM na IAM Guia do Utilizador.

Para obter mais informações sobre o desenvolvimento de uma estratégia de etiquetagem para os seusrecursos de AWS, consulte Estratégias de etiquetagem AWS.

Referência do AWS Resource GroupsUse os tópicos desta seção para encontrar informações de referência para diversos aspectos do AWSResource Groups.

Políticas gerenciadas da AWS disponíveis para usocom o AWS Resource GroupsAs políticas de permissão do AWS gerenciadas pela IAM permitem conceder permissões pré-configuradasaos usuários e funções do IAM na sua conta. As políticas gerenciadas pela AWS são testadas e seguemas recomendações de melhores práticas, para que você possa usá-las de forma confiável nos cenáriospara os quais estão definidas. Como novos tipos de recursos são compatíveis como membros de gruposde recursos e novos tipos de recursos são compatíveis com a marcação, o AWS atualiza automaticamenteessas políticas para oferecer suporte a eles. Você não precisa fazer nada.

A tabela a seguir lista as políticas de permissão do AWS gerenciadas pela IAM disponíveis para você usarpara conceder permissões ao AWS Resource Groups.

Nome da política Description (Descrição) ARN

AWSResourceGroupsReadOnlyAccessconcede acesso somente leituraao console de gerenciamento doAWS Resource Groups. Ela inclui apermissão para visualizar os detalhesde um recurso, incluindo a lista de tagsanexadas. Essa política não concedepermissão para fazer alterações emgrupos de recursos ou tags.

arn:aws: iam::aws:policy/AWSResourceGroupsReadOnlyAccess

ResourceGroupsandTagEditorReadOnlyAccessconcede acesso somente leitura aoconsole de gerenciamento do AWSResource Groups, incluindo o TagEditor. Ela inclui a permissão paravisualizar os detalhes de um recurso,incluindo suas tags. É possível usaro Tag Editor para visualizar recursosque correspondam às consultas de tag.Essa política não concede permissãopara fazer alterações em grupos derecursos ou tags.

arn:aws: iam::aws:policy/ResourceGroupsandTagEditorFullAccess

78



https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSResourceGroupsReadOnlyAccess

https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess

AWS Resource Groups Guia do usuárioPolíticas gerenciadas da AWS disponíveis

para uso com o AWS Resource Groups

Nome da política Description (Descrição) ARN

ResourceGroupsandTagEditorFullAccessconcede acesso administrativocompleto ao console de gerenciamentodo AWS Resource Groups. Ela incluipermissões para visualizar, criar emodificar grupos de recursos. Elatambém inclui permissões paravisualizar, definir e modificar tags paratodos os recursos compatíveis com oTag Editor.

arn:aws: iam::aws:policy/ResourceGroupsandTagEditorFullAccess

79

https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess


Histórico do documento do AWSResource Groups

update-history-change update-history-description update-history-date

Inclusão de capítulosobre segurança econformidade. (p. 80)

Discute como os Gruposde recursos protegem suasinformações e estão emconformidade com padrõesregulatórios.

July 30, 2020

Inclusão de suporte para gruposde recursos configurados paraserviços daAWS (p. 80)

Agora você pode criar gruposde recursos associados aum serviço do AWS e queconfiguram como o serviçopode interagir com os recursosque estão no grupo. Nestaprimeira versão do recurso,você pode criar um grupo derecursos que contém reservasde capacidade do AmazonEC2 e, em seguida, executarinstâncias do Amazon EC2 nogrupo. Se houver capacidadeem uma ou mais das reservasdo grupo correspondente à suainstância, essa instância usaráa reserva. Se a instância nãocorresponder a nenhuma reservadisponível no grupo do , ela seráexecutada como uma instânciasob demanda. Para obter maisinformações, consulte Trabalharcom grupos de reservas decapacidade no Guia do usuáriodo Amazon EC2 para instânciasdo Linux.

July 29, 2020

Inclusão de suporte pararecursos do AWS IoTGreengrass. (p. 80)

Mais tipos de recursos agora sãocompatíveis com AWS ResourceGroups e Tag Editor.

March 25, 2020

Visualizar dados deoperações do AWS ResourceGroups (p. 80)

No console do AWS SystemsManager, a página AWSResource Groups exibe dadosde operações para um gruposelecionado em quatro guias:Detalhes do , Config, CloudTrail,OpsItems. Essas guias não estãodisponíveis ao visualizar umgrupo no console do Gruposde recursos. Você pode usar

March 16, 2020

80





as informações nessas guiaspara ajudar a entender quaisrecursos em um grupo estãoem conformidade e funcionandocorretamente, e quais recursosexigem ação. Se precisar agirem um recurso, você poderáusar registros de automação doSystems Manager para executartarefas comuns de operaçõesde manutenção e solução deproblemas. Para obter maisinformações, consulte Visualizardados de operações para gruposde recursos da AWS no Guiado usuário do AWS SystemsManager.

Verificar a conformidade com aspolíticas de tag (p. 80)

Depois de criar e anexar políticasde tag a contas usando o AWSOrganizations, você podeencontrar tags não compatíveisem recursos nas contas daorganização.

November 26, 2019

Suporte para mais tipos derecursos (p. 80)

Mais tipos de recursos agora sãocompatíveis com AWS ResourceGroups e Tag Editor.

October 4, 2019

Novos tipos de recursoscompatíveis com o AWSResource Groups (p. 80)

Mais tipos de recursos agora sãocompatíveis com os Grupos derecursos da AWS, especialmentepara grupos baseados em umapilha do AWS CloudFormation.

August 5, 2019

Novos tipos de recursoscompatíveis com o AWSResource Groups (p. 80)

Agora há suporte para ostópicos REST APIs, eventos doAWS CloudWatch e tópicos doAmazon SNS no AWS ResourceGroups do AWS API Gateway.

June 27, 2019

O Tag Editor agora oferecesuporte à localização derecursos não marcados comtags (p. 80)

Agora você pode pesquisarrecursos no Tag Editor que nãotenham valores de tag aplicadosa uma chave de tag específica.

June 18, 2019

Novos tipos de recursoscompatíveis com o AWSResource Groups e oTagEditor (p. 80)

Mais de 50 novos tipos derecursos foram adicionados aoAWS Resource Groups e aosuporte do Tag Editor.

June 6, 2019

81





Os Grupos de recursos daAWS e o console do TagEditor são movidos para forado console do AWS SystemsManager (p. 80)

O console do Tag Editor e oAWS Resource Groups agoraé independente do console doAWS Systems Manager. Emboravocê ainda possa encontrarponteiros para o console doAWS Resource Groups na barrade navegação à esquerda doSystems Manager, pode abrir osGrupos de recursos e o consoledo Tag Editor diretamenteno menu suspenso na partesuperior esquerda do console degerenciamento da AWS.

June 5, 2019

Novos recursos de autorização econtrole de acesso de Grupos derecursos (p. 80)

Os Grupos de recursosagora oferecem suporte apolíticas baseadas em ação,permissões em nível de recurso eautorização baseadas em tags.

May 24, 2019

Grupos de recursos herdadosmais antigos e ferramentasdo Tag Editor não estão maisdisponíveis (p. 80)

Menções sobre grupos derecursos mais antigos, clássicosou herdados e Tag Editor foramremovidas; essas ferramentasnão estão mais disponíveis naAWS. Em vez disso, use o AWSResource Groups e o Tag Editor.

May 14, 2019

Agora, o Tag Editor oferecesuporte à marcação de recursosem várias regiões (p. 80)

Agora, o Tag Editor permitepesquisar e gerenciar tags derecursos em várias regiões,com sua região atual adicionadaàs consultas de recursos porpadrão.

May 2, 2019

Agora, o Tag Editor oferecesuporte à exportação deresultados da consulta para umCSV (p. 80)

Você pode exportar os resultadosde uma consulta na página FindResources to tag (Localizarrecursos a serem marcados)para um arquivo em formatoCSV. Uma nova coluna de regiãoé mostrada nos resultadosda consulta do Tag Editor.O Tag Editor agora permitepesquisar recursos que têmvalores vazios para uma chavede tag específica. Os valores dechaves de tags são preenchidosautomaticamente conforme vocêdigita um valor exclusivo entrechaves existentes.

April 2, 2019

82


Agora o Tag Editor oferecesuporte à adição de todosos tipos de recurso a umaconsulta (p. 80)

Você pode aplicar tags a até 20tipos de recurso individuais emuma única operação, ou escolherAll resource types (Todos ostipos de recurso) para consultartodos os tipos de recurso emuma região. O preenchimentoautomático foi adicionado aocampo Tag key (Chave de tag)de uma consulta para ajudara habilitar chaves de tagsconsistentes entre recursos. Seas alterações de tags falharemem alguns recursos, você poderátentar novamente as alteraçõesde tags apenas nos recursosnos quais as alterações de tagsfalharam.

March 19, 2019

Agora, o Tag Editor oferecesuporte a vários tiposde recursos em umapesquisa (p. 80)

Você pode aplicar tags a até 20tipos de recurso em uma únicaoperação. Você também podeescolher as colunas que sãomostradas nos resultados depesquisa, incluindo colunas paracada chave de tag exclusivaencontradas nos resultadosda pesquisa ou recursosselecionados dos resultados.

February 26, 2019

Documentação adicionada para onovo Tag Editor (p. 80)

A seção "Trabalhar com o TagEditor" descreve como usar anova experiência do console doAWS Tag Editor.

February 13, 2019

Novos tipos de recursocompatíveis com grupos noGrupos de recursos (p. 80)

Adicionados novos tiposde recurso que agora sãocompatíveis no Grupos derecursos.

February 4, 2019

Experiência do usuário avançadapara adicionar tags a consultasdo Grupos de recursos com baseem tags (p. 80)

Pequenas alterações naexperiência do usuário doconsole para adição de tags emuma consulta com base em tag.

December 17, 2018

Consulta com base em pilha doAWS CloudFormation adicionadaao Grupos de recursos (p. 80)

Você pode criar grupos derecursos em que a consulta ébaseada em uma pilha do AWSCloudFormation. Depois deescolher uma pilha, você podeescolher quais tipos de recursoda pilha você deseja que sejamexibidos na consulta do grupo.

November 13, 2018

83

AWS Resource Groups Guia do usuárioAtualizações anteriores

Grupos de recursos eCloudTrail (p. 80)

O Grupos de recursos agoraoferece suporte ao AWSCloudTrail. Você pode visualizare trabalhar com logs de todas aschamadas de API do Grupos derecursos no CloudTrail.

June 29, 2018

• Versão da API: até 2017-11-27• Última atualização da documentação: 24 de setembro de 2019

Atualizações anterioresA tabela a seguir descreve alterações importantes em cada versão do Guia do usuário do AWS ResourceGroups antes de junho de 2018.

Alteração Description (Descrição) Date

Versão inicial Versão inicial da próximageração do AWS ResourceGroups

29 de novembro de 2017

84


AWS GlossaryFor the latest AWS terminology, see the AWS Glossary in the AWS General Reference.

85

https://docs.aws.amazon.com/general/latest/gr/glos-chap.html


As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e daversão original em inglês, a versão em inglês prevalecerá.

lxxxvi

aws resource groups · de tags também significa que quando os usuários compartilham um grupo de...

Documents