Markieren Ihrer AWS IoT Wireless-Ressourcen - AWS IoT Wireless

Markieren Ihrer AWS IoT Wireless-Ressourcen

Um Ihnen die Verwaltung und Organisation Ihrer Geräte, Gateways, Ziele und Profile zu erleichtern, können Sie jeder dieser Ressourcen optional eigene Metadaten in Form von Tags zuweisen. In diesem Abschnitt werden Tags beschrieben und Sie erfahren, wie Sie sie erstellen. AWS IoT Wireless hat keine Fakturierungsgruppen und verwendet dieselben Fakturierungsgruppen wie AWS IoT Core. Weitere Informationen finden Sie unter Fakturierungsgruppen in der AWS IoT Core-Dokumentation.

Grundlagen zu Tags (Markierungen)

Wenn Sie mehrere AWS IoT Wireless-Ressourcen desselben Typs haben, können Sie diese mit Tags auf unterschiedliche Weise kategorisieren (z. B. nach Zweck, Eigentümer oder Umgebung). Dadurch können Sie eine Ressource schnell anhand der ihr zugeordneten Tags identifizieren.

Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert, die Sie beide selbst definieren können. Sie können beispielsweise eine Reihe von Tags für eine Gruppe von LoRaWAN-Geräten definieren, für die die Gerätefirmware aktualisiert wird. Wir empfehlen die Erstellung von Tag-Schlüsseln, die die Anforderungen der jeweiligen Ressourcenart erfüllen.

Sie können die Ressourcen auf Grundlage der hinzugefügten oder angewendeten Tags durchsuchen und filtern. Sie können auch Tags verwenden, um den Zugriff auf Ihre Ressourcen zu steuern, indem Sie IAM-Richtlinien und Fakturierungsgruppen-Tags verwenden, um Ihre Kosten zu kategorisieren und zu verfolgen.

Erstellen und Verwalten von Tags

Sie können Tags mit dem Tag Editor in der AWS Management Console, der AWS IoT Wireless oder der AWS CLI erstellen und verwalten.

Verwenden der Konsole

Der Tag-Editor in der AWS Management Console ist benutzerfreundlich und am besten dazu geeignet, Tags zentral und einheitlich zu erstellen und zu verwalten. Weitere Informationen finden Sie unter Arbeiten mit dem Tag Editor in Arbeiten mit der AWS Management Console.

Verwenden der API oder CLI

Sie können auch die API oder CLI verwenden und Tags drahtlosen Geräten, Gateways, Profilen und Zielen zuordnen, wenn Sie sie erstellen, indem Sie das Tags-Feld in den folgenden Befehlen verwenden:

Aktualisieren von Tags oder Auflisten von Tags für Ressourcen

Sie können Tags für vorhandene Ressourcen, die das Markieren unterstützen, hinzufügen, ändern oder löschen. Verwenden Sie dazu die folgenden Befehle:

Sie können Tag (Markierung)-Schlüssel und -Werte bearbeiten und Tags (Markierungen) jederzeit von einer Ressource entfernen. Sie können den Wert eines Tags (Markierung) zwar auf eine leere Zeichenfolge, jedoch nicht null festlegen. Wenn Sie ein Tag (Markierung) mit demselben Schlüssel wie ein vorhandener Tag (Markierung) für die Ressource hinzufügen, wird der alte Wert mit dem neuen überschrieben. Wenn Sie eine Ressource löschen, werden alle der Ressource zugeordneten Tags ebenfalls gelöscht.

Tag-Beschränkungen und -Einschränkungen

Die folgenden grundlegenden Einschränkungen gelten für Tags (Markierungen):

  • Maximale Anzahl von Tags pro Ressource: 50.

  • Maximale Schlüssellänge: 127 Unicode-Zeichen in UTF-8.

  • Maximale Wertlänge: 255 Unicode-Zeichen in UTF-8.

  • Bei Tag-Schlüsseln und -Werten muss die Groß- und Kleinschreibung beachtet werden.

  • Verwenden Sie nicht das Präfix aws: in Ihren Tag-Namen oder -Werten. Es ist für die AWS-Verwendung reserviert. Sie können keine Tag-Namen oder Werte mit diesem Präfix bearbeiten oder löschen. Tags mit diesem Präfix werden nicht zum Limit für Tags pro Ressource gezählt.

  • Wenn Ihr Markierungsschema für mehrere Services und Ressourcen verwendet wird, denken Sie daran, dass die zulässigen Zeichen bei anderen Services möglicherweise eingeschränkt sind. Zulässige Zeichen: Buchstaben, Leerzeichen und Zahlen, die in UTF-8 darstellbar sind, sowie die folgenden Sonderzeichen: + - = . _ : / @.

Verwenden von Tags mit IAM-Richtlinien

Um anzugeben, welche Ressourcen ein Benutzer erstellen, ändern oder verwenden kann, können Sie tagbasierte Berechtigungen auf Ressourcenebene in den IAM-Richtlinien anwenden, die Sie für AWS IoT Wireless-API-Aktionen verwenden. Um den Benutzerzugriff (Berechtigungen) basierend auf den Tags einer Ressource zu steuern, verwenden Sie das Condition-Element (auch als Condition-Block bezeichnet) mit den folgenden Bedingungskontextschlüsseln und Werten in einer IAM-Richtlinie.

  • Verwenden Sie aws:ResourceTag/tag-key: tag-value, um Benutzeraktionen für Ressourcen mit bestimmten Tags zuzulassen oder zu verweigern.

  • Verwenden Sie aws:RequestTag/tag-key: tag-value, um festzulegen, dass ein bestimmtes Tag verwendet (oder nicht verwendet) wird, wenn Sie eine API-Anfrage stellen, um eine Ressource zu erstellen oder zu ändern, die Tags zulässt.

  • Verwenden Sie aws:TagKeys: [tag-key, ...], um zu verlangen, dass ein bestimmter Satz von Tag-Schlüsseln verwendet wird (oder nicht), wenn eine API-Anforderung zum Erstellen einer Ressource durchgeführt wird, die Tags zulässt.

Anmerkung

Die Bedingungskontextschlüssel und -werte in einer IAM-Richtlinie gelten nur für die AWS IoT-Aktionen, bei denen eine Kennung für eine Ressource, die Tags zulässt, ein erforderlicher Parameter ist. Beispiel: Die Verwendung von DescribeEndpoint wird nicht auf Basis von Bedingungskontextschlüsseln und -werten erlaubt oder verweigert, da keine markierbaren Ressourcen in dieser Anforderung referenziert werden.

Weitere Informationen finden Sie unter Zugriffssteuerung mit Tags im AWS Identity and Access Management Benutzerhandbuch. Der Abschnitt IAM-JSON-Richtlinienreferenz dieses Handbuchs enthält die detaillierte Syntax sowie Beschreibungen und Beispiele für Elemente, Variablen und die Auswertungslogik von JSON-Richtlinien in IAM.

Die folgende Beispielrichtlinie wendet zwei auf Tags basierende Einschränkungen an. Ein von dieser Richtlinie eingeschränkter IAM-Benutzer:

  • Kann keiner Ressource den Tag „env=prod“ zuweisen (im Beispiel vgl. die Zeile "aws:RequestTag/env" : "prod").

  • Kann keine Ressource modifizieren oder darauf zugreifen, die den Tag „env=prod“ aufweist (im Beispiel vgl. die Zeile "aws:ResourceTag/env" : "prod").

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "iot:CreateMulticastGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "prod" } } }, { "Effect": "Deny", "Action": [ "iot:CreateMulticastGroup", "iot:UpdateMulticastGroup", "iot:GetMulticastGroup", "iot:ListMulticastGroups" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "prod" } } }, { "Effect": "Allow", "Action": [ "iot:CreateMulticastGroup", "iot:UpdateMulticastGroup", "iot:GetMulticastGroup", "iot:ListMulticastGroups" ], "Resource": "*" } ] }

Sie können auch mehrere Tag-Werte für einen bestimmten Tag-Schlüssel angeben, indem Sie sie wie folgt in einer Liste angeben:

"StringEquals" : { "aws:ResourceTag/env" : ["dev", "test"] }
Anmerkung

Wenn Sie Benutzern den Zugriff zu Ressourcen auf der Grundlage von Tags (Markierungen) gewähren oder verweigern, müssen Sie daran denken, Benutzern explizit das Hinzufügen und Entfernen dieser Tags (Markierungen) von den jeweiligen Ressourcen unmöglich zu machen. Andernfalls können Benutzer möglicherweise Ihre Einschränkungen umgehen und sich Zugriff auf eine Ressource verschaffen, indem sie ihre Tags (Markierungen) modifizieren.