Grundlagen zu Tags (Markierungen)Verwenden von Tags mit IAM-Richtlinien Weitere Informationen finden Sie auch unter

AWS IoT Greengrass Version 1 trat am 30. Juni 2023 in die erweiterte Lebensphase ein. Weitere Informationen finden Sie in der AWS IoT Greengrass V1 Wartungsrichtlinie. Nach diesem Datum AWS IoT Greengrass V1 werden keine Updates mehr veröffentlicht, die Funktionen, Verbesserungen, Bugfixes oder Sicherheitspatches bieten. Geräte, die auf laufen, werden AWS IoT Greengrass V1 nicht gestört und funktionieren weiterhin und stellen eine Verbindung zur Cloud her. Wir empfehlen Ihnen dringend, zu migrieren AWS IoT Greengrass Version 2, da dies wichtige neue Funktionen und Unterstützung für zusätzliche Plattformen bietet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Markieren Ihrer AWS IoT Greengrass-Ressourcen

Mit Tags können Sie Ihre AWS IoT Greengrass-Gruppen organisieren und verwalten. Sie können mit Tags Gruppen und Massenbereitstellungen und den Cores, Geräten sowie anderen Ressourcen, die Gruppen hinzugefügt werden, Metadaten zuzuweisen. Tags können auch in IAM-Richtlinien verwendet werden, um den bedingten Zugriff auf Ihre Greengrass-Ressourcen zu definieren.

Anmerkung

Derzeit werden Greengrass-Ressourcen-Tags nicht für die AWS IoT-Fakturierungsgruppen oder Kostenzuordnungsberichte unterstützt.

Grundlagen zu Tags (Markierungen)

Mit Tags können Sie Ihre AWS IoT Greengrass-Ressourcen kategorisieren (z. B. nach Zweck, Eigentümer und Umgebung). Wenn viele Ressourcen desselben Typs vorhanden sind, können Sie basierend auf den angefügten Tags schnell bestimmte Ressourcen identifizieren. Ein Tag besteht aus einem Schlüssel und einem optionalen Wert. Beides können Sie bestimmen. Wir empfehlen die Verwendung von Tag-Schlüsseln für den jeweiligen Ressourcentyp. Die Verwendung einheitlicher Tag-Schlüssel vereinfacht das Verwalten der -Ressourcen. Sie können zum Beispiel eine Reihe von Tags für Ihre Gruppen definieren, mit denen Sie den Fabrikstandort Ihrer Core-Geräte verfolgen können. Weitere Informationen finden Sie unter Tagging-Strategien in AWS.

Markierungsunterstützung in der AWS IoT-Konsole

Sie können für die Group-Ressourcen in Greengrass in der AWS IoT-Konsole Markierungen (Tags) erstellen, anzeigen und verwalten. Beachten Sie vor dem Erstellen von Tags Beschränkungen für Tags. Weitere Informationen finden Sie unter Konventionen für Benennung und Nutzung von Tags in der Allgemeine Amazon Web Services-Referenz.

So weisen Sie Tags beim Erstellen einer Gruppe zu: Sie können einer Gruppe Tags zuweisen, wenn Sie die Gruppe erstellen. Wählen Sie im Abschnitt Tags die Option Neues Tag hinzufügen aus, um die Eingabefelder für die Markierung anzuzeigen.
So zeigen Sie Tags auf der Gruppenkonfigurationsseite an und verwalten sie: Sie können Tags auf der Gruppenkonfigurationsseite anzeigen und verwalten, indem Sie Einstellungen anzeigen auswählen. Wählen Sie im Abschnitt Tags für die Gruppe die Option Tags verwalten aus, um Gruppen-Tags hinzuzufügen, zu bearbeiten oder zu entfernen.

Markierungsunterstützung in der AWS IoT Greengrass-API

Sie können die AWS IoT Greengrass-API verwenden, um Tags für AWS IoT Greengrass-Ressourcen zu erstellen, aufzulisten und zu verwalten, die Markierungen unterstützen. Beachten Sie vor dem Erstellen von Tags Beschränkungen für Tags. Weitere Informationen finden Sie unter Konventionen für Benennung und Nutzung von Tags in der Allgemeine Amazon Web Services-Referenz.

Wenn Sie Tags während der Ressourcenerstellung hinzufügen möchten, definieren Sie sie in der tags-Eigenschaft der Ressource.
Mit der TagResource-Aktion können Sie Tags nach der Erstellung einer Ressource hinzuzufügen oder Tag-Werte aktualisieren.
Sie können Tags mit der UntagResource-Aktion aus einer Ressource entfernen.
Sie können Tags, die einer Ressource zugeordnet sind, mit der ListTagsForResource-Aktion abrufen oder die Ressource abrufen und sich deren tags-Eigenschaft ansehen.

In der folgenden Tabelle sind die Ressourcen aufgeführt, die Sie in der AWS IoT Greengrass-API markieren können. Außerdem finden Sie die entsprechenden Get- und Create-Aktionen.

Ressource	Erstellen	Get
`Group`	`CreateGroup`	`GetGroup`
`ConnectorDefinition`	`CreateConnectorDefinition`	`GetConnectorDefinition`
`CoreDefinition`	`CreateCoreDefinition`	`GetCoreDefinition`
`DeviceDefinition`	`CreateDeviceDefinition`	`GetDeviceDefinition`
`FunctionDefinition`	`CreateFunctionDefinition`	`GetFunctionDefinition`
`LoggerDefinition`	`CreateLoggerDefinition`	`GetLoggerDefinition`
`ResourceDefinition`	`CreateResourceDefinition`	`GetResourceDefinition`
`SubscriptionDefinition`	`CreateSubscriptionDefinition`	`GetSubscriptionDefinition`
`BulkDeployment`	`StartBulkDeployment`	`GetBulkDeploymentStatus`

Sie können Tags für Ressourcen, die Tagging unterstützen, mit den folgenden Aktionen aufführen und verwalten:

TagResource. Fügt einer Ressource Tags hinzu. Diese werden auch dazu verwendet, den Wert des Schlüssel-Wert-Paars des Tags zu ändern.
ListTagsForResource. Listet die Tags für eine Ressource auf.
UntagResource. Entfernt Tags aus einer Ressource.

Sie können die Tags einer Ressource jederzeit hinzufügen, entfernen oder ändern. Wenn Sie den Wert eines Tag-Schlüssels ändern möchten, fügen Sie der Ressource, die denselben Schlüssel und den neuen Wert definiert, ein Tag hinzu. Der neue Wert überschreibt den alten Wert. Sie können einen Wert zwar auf eine leere Zeichenfolge, jedoch nicht Null festlegen.

Wenn Sie eine Ressource löschen, werden die der Ressource zugeordneten Tags ebenfalls gelöscht.

Anmerkung

Verwechseln Sie Ressourcen-Tags nicht mit den Attributen, die Sie AWS IoT-Objekten zuweisen können. Obwohl es sich bei Greengrass-Cores um AWS IoT-Objekte handelt, werden die in diesem Thema beschriebenen Ressourcen-Tags dem CoreDefinition- und nicht dem Core-Objekt angefügt.

Verwenden von Tags mit IAM-Richtlinien

In Ihren IAM-Richtlinien können Sie Ressourcen-Tags verwenden, um den Benutzerzugriff und die Berechtigungen zu steuern. Beispielsweise können Richtlinien Benutzern erlauben, nur die Ressourcen zu erstellen, die einen spezifisches Tag aufweisen. Richtlinien können auch verhindern, dass Benutzer Ressourcen mit bestimmten Tags erstellen oder ändern. Sie können Ressourcen während der Erstellung markieren (dies wird als Markierung bei Erstellung bezeichnet). Dadurch müssen Sie später keine benutzerdefinierten Skripts ausführen. Wenn neue Umgebungen mit Tags gestartet werden, werden die entsprechenden IAM-Berechtigungen automatisch angewendet.

Die folgenden Bedingungskontextschlüssel und -werte können im Condition-Element (auch als Condition-Block bezeichnet) der Richtlinie verwendet werden.

greengrass:ResourceTag/tag-key: tag-value: Sie können Benutzeraktionen bei Ressourcen mit bestimmten Tags gestatten oder verweigern.
aws:RequestTag/tag-key: tag-value: Sie können verlangen, dass ein bestimmter Tag verwendet wird (oder nicht), wenn Sie API-Anforderungen zum Erstellen oder Ändern von Tags bei einer markierbaren Ressource durchführen.
aws:TagKeys: [tag-key, ...]: Sie können verlangen, dass ein bestimmter Satz mit Tag-Schlüsseln verwendet wird (oder nicht), wenn eine API-Anforderung zum Erstellen oder Ändern einer markierbaren Ressource durchgeführt wird.

Bedingungskontextschlüssel und -werte können nur mit AWS IoT Greengrass-Aktionen verwendet werden, die bei einer markierbaren Ressource ausgeführt werden. Diese Aktionen nehmen die Ressource als einen erforderlicher Parameter an. Sie können beispielsweise bedingten Zugriff auf GetGroupVersion festlegen. Sie können keinen bedingten Zugriff auf AssociateServiceRoleToAccount festlegen, da keine markierbare Ressource (z. B. Gruppe, Core-Definition oder Gerätedefinition) in der Anfrage verwiesen wird.

Weitere Informationen finden Sie unter Steuern des Zugriffs mithilfe von Tags und IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch. Die JSON-Richtlinienreferenz enthält detaillierte Syntax, Beschreibungen und Beispiele für die Elemente, Variablen und Auswertungslogik von JSON-Richtlinien in IAM.

IAM-Beispielrichtlinien

In der folgenden Beispielrichtlinie werden Tag-basierte Berechtigungen angewendet, mit denen die Aktionen eines Beta-Benutzers nur auf Beta-Ressourcen eingeschränkt werden.

Die erste Anweisung ermöglicht es einem IAM-Benutzer, auf Ressourcen zu reagieren, die nur das Tag env=beta haben.
Die zweite Anweisung verhindert, dass ein IAM-Benutzer das Tag env=beta aus Ressourcen entfernt. Dadurch wird sichergestellt, dass der Benutzer nicht seinen eigenen Zugriff entfernt.

Anmerkung
Wenn Sie den Zugriff auf Ressourcen über Tags steuern, sollten Sie auch die Berechtigungen verwalten, mit denen Benutzer diesen Ressourcen Tags hinzuzufügen oder davon entfernen können. Andernfalls können Benutzer in einigen Fällen möglicherweise Ihre Einschränkungen umgehen und sich Zugriff auf eine Ressource verschaffen, indem sie ihre Tags modifizieren.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "greengrass:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "greengrass:ResourceTag/env": "beta"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "greengrass:UntagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/env": "beta"
                }
            }
        }
    ]
}

Damit Benutzer eine Markierung bei Erstellung durchführen können, müssen Sie Ihnen die erforderlichen Berechtigungen erteilen. Die folgende Beispielrichtlinie enthält die "aws:RequestTag/env": "beta"-Bedingung für die Aktionen greengrass:CreateGroup und greengrass:TagResource, mit denen Benutzer nur dann eine Gruppe erstellen können, wenn sie die Gruppe mit env = beta markieren. Damit wird erreicht, dass Benutzer neue Gruppen markieren müssen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "greengrass:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "beta"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "greengrass:CreateGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "beta"
                }
            }
        }
    ]
}

Im folgenden Ausschnitt wird dargestellt, wie Sie auch mehrere Tag-Werte für einen Tag-Schlüssel angeben können, indem Sie sie in einer Liste angeben:


"StringEquals" : {
    "greengrass:ResourceTag/env" : ["dev", "test"]
}

Weitere Informationen finden Sie auch unter

Markieren von AWS-Ressourcen in Allgemeine Amazon Web Services-Referenz.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aufruf der lokalen Health Check-API

AWS CloudFormation-Unterstützung für AWS IoT Greengrass