Principes de base des étiquettes Utilisation des balises avec des politiques IAM Consultez aussi

AWS IoT Greengrass Version 1 est entré dans la phase de durée de vie prolongée le 30 juin 2023. Pour plus d'informations, consultez la politique de AWS IoT Greengrass V1 maintenance. Après cette date, AWS IoT Greengrass V1 ne publiera pas de mises à jour fournissant des fonctionnalités, des améliorations, des corrections de bogues ou des correctifs de sécurité. Les appareils qui fonctionnent AWS IoT Greengrass V1 sous tension ne seront pas perturbés et continueront à fonctionner et à se connecter au cloud. Nous vous recommandons vivement de migrer vers AWS IoT Greengrass Version 2, qui ajoute de nouvelles fonctionnalités importantes et prend en charge des plateformes supplémentaires.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Balisage de vos ressources AWS IoT Greengrass

Les balises peuvent vous aider à organiser et à gérer vos groupes AWS IoT Greengrass. Vous pouvez utiliser des balises pour attribuer des métadonnées à des groupes, des déploiements en masse, et des noyaux, des appareils et d'autres ressources qui sont ajoutés aux groupes. Les tags peuvent également être utilisés dans les politiques IAM pour définir un accès conditionnel à vos ressources Greengrass.

Note

Actuellement, les balises de ressource Greengrass ne sont pas prises en charge pour les groupes de facturation ou les rapports de répartition des coûts AWS IoT.

Principes de base des étiquettes

Les balises vous permettent de classer vos ressources AWS IoT Greengrass, par exemple, par objectif, par propriétaire et par environnement. Lorsque vous avez de nombreuses ressources de même type, vous pouvez identifier rapidement une ressource spécifique en fonction des balises qui lui sont associées. Une balise est constituée d'une clé et d'une valeur facultative que vous définissez. Nous vous recommandons de concevoir un ensemble de clés de balise pour chaque type de ressource. L’utilisation d’un ensemble de clés de balise cohérent facilite la gestion de vos ressources. Par exemple, vous pouvez définir un ensemble de balises pour vos groupes qui vous permet de suivre l'emplacement usine de vos principaux appareils. Pour plus d'informations, consultez Stratégies d'étiquette AWS.

Prise en charge du balisage dans la console AWS IoT

Vous pouvez créer, afficher et gérer des balises pour vos ressources Group dans la console AWS IoT. Avant de créer des balises, tenez compte des restrictions liées aux balises. Pour de plus amples informations, veuillez consulter Conventions de dénomination et d'utilisation des balises dans le Référence générale d'Amazon Web Services.

Pour attribuer des balises lorsque vous créez un groupe: Vous pouvez attribuer des balises à un groupe lorsque vous créez le groupe. Choisissez Ajouter une nouvelle balise dans la section Balises pour afficher les champs de saisie des balises.
Pour afficher et gérer les balises à partir de la page de configuration du groupe: Vous pouvez afficher et gérer les balises depuis la page de configuration du groupe en choisissant Afficher les paramètres. Dans la section Balises du groupe, choisissez Gérer les balises pour ajouter, modifier ou supprimer des balises de groupe.

Prise en charge du balisage dans l'API AWS IoT Greengrass

Vous devez utiliser l'API AWS IoT Greengrass afin de créer et gérer des balises pour les ressources AWS IoT Greengrass qui prennent en charge le balisage. Avant de créer des balises, tenez compte des restrictions liées aux balises. Pour de plus amples informations, veuillez consulter Conventions de dénomination et d'utilisation des balises dans le Référence générale d'Amazon Web Services.

Pour ajouter des balises lors de la création de ressources, définissez-les dans la propriété tags de la ressource.
Pour ajouter des balises après la création d'une ressource ou pour mettre à jour des valeurs de balise, utilisez l'action TagResource.
Pour supprimer des balises d'une ressource, utilisez l'action UntagResource.
Pour récupérer les balises qui sont associées à une ressource, utilisez l'action ListTagsForResource ou obtenez la ressource et inspectez sa propriété tags.

Le tableau suivant répertorie les ressources que vous pouvez baliser dans l'API AWS IoT Greengrass et ses actions Create et Get correspondantes.

Ressource	Création	Get
`Group`	`CreateGroup`	`GetGroup`
`ConnectorDefinition`	`CreateConnectorDefinition`	`GetConnectorDefinition`
`CoreDefinition`	`CreateCoreDefinition`	`GetCoreDefinition`
`DeviceDefinition`	`CreateDeviceDefinition`	`GetDeviceDefinition`
`FunctionDefinition`	`CreateFunctionDefinition`	`GetFunctionDefinition`
`LoggerDefinition`	`CreateLoggerDefinition`	`GetLoggerDefinition`
`ResourceDefinition`	`CreateResourceDefinition`	`GetResourceDefinition`
`SubscriptionDefinition`	`CreateSubscriptionDefinition`	`GetSubscriptionDefinition`
`BulkDeployment`	`StartBulkDeployment`	`GetBulkDeploymentStatus`

Utilisez les actions suivantes afin de répertorier et de gérer des balises pour les ressources qui prennent en charge le balisage :

TagResource. Ajoute des balises à une ressource. Egalement utilisé pour modifier la valeur de la paire clé-valeur de la balise.
ListTagsForResource. Répertorie les balises d'une ressource.
UntagResource. Supprime les balises d'une ressource.

Vous pouvez ajouter ou supprimer des balises sur une ressource à tout moment. Pour modifier la valeur d'une clé de balise, ajoutez une balise à la ressource qui définit la même clé et la nouvelle valeur. La nouvelle valeur remplace l'ancienne valeur. Vous pouvez définir la valeur d'une balise sur une chaîne vide, mais pas sur null.

Lorsque vous supprimez une ressource, les balises associées à celle-ci sont également supprimées.

Note

Ne confondez pas les balises de ressources avec les attributs que vous pouvez attribuer aux objets AWS IoT. Bien que les noyaux Greengrass soient des objets AWS IoT, les balises de ressource qui sont décrites dans cette rubrique sont attachées à une CoreDefinition, et non à l'objet principal.

Utilisation des balises avec des politiques IAM

Dans vos politiques IAM, vous pouvez utiliser des balises de ressources pour contrôler l'accès et les autorisations des utilisateurs. Par exemple, des stratégies peuvent permettre aux utilisateurs de créer uniquement les ressources qui comportent une balise spécifique. Les stratégies peuvent également empêcher les utilisateurs de créer ou de modifier des ressources qui ont des balises spécifiques. Vous pouvez baliser des ressources au cours de la création (baliser lors de la création) afin de ne pas avoir à exécuter des scripts de balisage personnalisés plus tard. Lorsque de nouveaux environnements sont lancés avec des balises, les autorisations IAM correspondantes sont appliquées automatiquement.

Les clés de contexte de condition et les valeurs suivantes peuvent être utilisées dans l'élément Condition (également nommé bloc de Condition) de la stratégie.

greengrass:ResourceTag/tag-key: tag-value: Accorder ou refuser aux utilisateurs des actions sur des ressources ayant des balises spécifiques.
aws:RequestTag/tag-key: tag-value: Exiger qu'une balise spécifique soit utilisée (ou ne soit pas utilisée) lorsque vous effectuez des demandes d'API pour créer ou modifier des balises sur une ressource balisable.
aws:TagKeys: [tag-key, ...]: Exiger qu'un ensemble spécifique de clés de balise soit utilisé (ou ne soit pas utilisé) lorsque vous effectuez une demande d'API pour créer ou modifier une ressource balisable.

Les clés de contexte de condition et les valeurs peuvent être utilisées uniquement sur les actions AWS IoT Greengrass qui agissent sur une ressource balisable. Ces actions prennent la ressource comme un paramètre obligatoire. Par exemple, vous pouvez définir un accès conditionnel sur GetGroupVersion. Vous ne pouvez pas définir d'accès conditionnel sur AssociateServiceRoleToAccount car aucune ressource balisable (par exemple, un groupe, une définition de noyau ou une définition d'appareil) n'est référencée dans la demande.

Pour plus d'informations, consultez la section Contrôle de l'accès à l'aide de balises et la référence de politique IAM JSON dans le guide de l'utilisateur IAM. La référence de politique JSON inclut une syntaxe détaillée, des descriptions et des exemples des éléments, des variables et de la logique d'évaluation des politiques JSON dans IAM.

Exemple de politiques IAM

L'exemple de stratégie suivant applique des autorisations reposant sur les balises qui limitent un utilisateur bêta aux actions sur les ressources bêta uniquement.

La première instruction permet à un utilisateur IAM d'agir uniquement sur des ressources dotées de la balise env=beta.
La deuxième instruction empêche un utilisateur IAM de supprimer la balise env=beta des ressources. Cela permet d'éviter à l'utilisateur de supprimer son propre accès.

Note
Si vous utilisez des balises pour contrôler l'accès aux ressources, vous devez également gérer les autorisations qui permettent aux utilisateurs d'ajouter ou de supprimer des balises dans ces mêmes ressources. Sinon, dans certains cas, il peut être possible pour les utilisateurs de contourner vos restrictions et d'obtenir l'accès à une ressource en modifiant ses balises.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "greengrass:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "greengrass:ResourceTag/env": "beta"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "greengrass:UntagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/env": "beta"
                }
            }
        }
    ]
}

Pour permettre aux utilisateurs de baliser lors de la création, vous devez leur accorder les autorisations appropriées. L'exemple de stratégie suivant inclut la "aws:RequestTag/env": "beta" condition sur les actions greengrass:TagResource et greengrass:CreateGroup, ce qui permet aux utilisateurs de créer un groupe uniquement s'ils balisent ce dernier avec env=beta. Cela oblige vraiment les utilisateurs à baliser les nouveaux groupes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "greengrass:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "beta"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "greengrass:CreateGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "beta"
                }
            }
        }
    ]
}

L'extrait suivant vous montre comment spécifier plusieurs valeurs de balise pour une clé de balise donnée en les plaçant dans une liste :


"StringEquals" : {
    "greengrass:ResourceTag/env" : ["dev", "test"]
}

Consultez aussi

Balisage des ressources AWS dans le Référence générale d'Amazon Web Services

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Appel de l'API de contrôle de santé locale

Prise en charge de AWS CloudFormation pour AWS IoT Greengrass