Menandai Sumber Daya AWS IoT Greengrass Anda - AWS IoT Greengrass
Dasar-dasar tandaMenggunakan tanda dengan kebijakan IAMLihat juga

AWS IoT Greengrass Version 1 memasuki fase umur panjang pada 30 Juni 2023. Untuk informasi selengkapnya, lihat kebijakan AWS IoT Greengrass V1 pemeliharaan. Setelah tanggal ini, tidak AWS IoT Greengrass V1 akan merilis pembaruan yang menyediakan fitur, penyempurnaan, perbaikan bug, atau patch keamanan. Perangkat yang berjalan AWS IoT Greengrass V1 tidak akan terganggu dan akan terus beroperasi dan terhubung ke cloud. Kami sangat menyarankan Anda bermigrasi ke AWS IoT Greengrass Version 2, yang menambahkan fitur baru yang signifikan dan dukungan untuk platform tambahan.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menandai Sumber Daya AWS IoT Greengrass Anda

Tanda dapat membantu Anda mengatur dan mengelola grup AWS IoT Greengrass Anda. Anda dapat menggunakan tanda untuk menugaskan metadata ke grup, deployment massal, dan core, perangkat, dan sumber daya lainnya yang ditambahkan ke grup. Tanda juga dapat digunakan dalam kebijakan IAM untuk menentukan akses bersyarat ke sumber daya Greengrass Anda.

catatan

Sekarang, Tanda sumber daya Greengrass tidak didukung untuk grup penagihan AWS IoT atau laporan alokasi biaya.

Dasar-dasar tanda

Tanda mengizinkan Anda untuk mengategorikan sumber daya AWS IoT Greengrass Anda, sebagai contoh, berdasarkan tujuan, pemilik, atau lingkungan. Saat Anda memiliki banyak sumber daya dengan jenis yang sama, Anda dapat dengan segera mengidentifikasi sumber daya berdasarkan tanda yang terlampir. Setiap tanda terdiri dari kunci dan nilai opsional, yang keduanya Anda tentukan. Kami menyarankan agar Anda merancang serangkaian kunci tanda yang konsisten untuk setiap jenis sumber daya. Penggunaan set kunci tanda yang konsisten akan memudahkan pengelolaan sumber daya Anda. Sebagai contoh, Anda dapat menentukan serangkaian tanda untuk grup Anda yang dapat membantu Anda melacak lokasi pabrik perangkat core Anda. Untuk mengetahui informasi lebih lanjut, lihat AWS Strategi Penandaan.

Dukungan penandaan di konsol AWS IoT tersebut

Anda dapat membuat, melihat, dan mengelola tanda pada Greengrass Sumber daya Group Anda di konsol AWS IoT tersebut. Sebelum Anda membuat tanda, perhatikan pembatasan penandaan. Untuk informasi selengkapnya, lihat Konvensi penamaan dan penggunaan tag di. Referensi Umum Amazon Web Services

Untuk menetapkan tag saat Anda membuat grup

Anda dapat menetapkan tanda ke grup saat Anda membuat grup. Pilih Tambahkan tag baru di bawah bagian Tag untuk menampilkan kolom input penandaan.

Untuk melihat dan mengelola tag dari halaman konfigurasi grup

Anda dapat melihat dan mengelola tag dari halaman konfigurasi grup dengan memilih Pengaturan tampilan. Di bagian Tag untuk grup, pilih Kelola tag untuk menambahkan, mengedit, atau menghapus tag grup.

Dukungan penandaan di API AWS IoT Greengrass ini

Anda dapat menggunakan API AWS IoT Greengrass untuk membuat, mendaftar, dan mengelola tanda pada AWS IoT Greengrass sumber daya yang mendukung penandaan. Sebelum Anda membuat tag, perhatikan pembatasan penandaan. Untuk informasi selengkapnya, lihat Konvensi penamaan dan penggunaan tag di. Referensi Umum Amazon Web Services

  • Untuk menambahkan tanda selama pembuatan sumber daya, definisikan mereka dalam properti tags dari sumber daya.

  • Untuk menambahkan tanda setelah sumber daya dibuat, atau untuk memperbarui nilai tanda, gunakan tindakan TagResource ini.

  • Untuk menghapus tanda dari sumber daya, gunakan tindakan UntagResource ini.

  • Untuk mengambil tanda yang terkait dengan sumber daya, gunakan tindakan ListTagsForResource atau dapatkan sumber daya dan periksa properti tags ini.

Tabel berikut mencantumkan sumber daya yang dapat Anda tandai di API AWS IoT Greengrass dan yang sesuai untuk Create dan tindakan Get ini.

Sumber daya Buat Dapatkan
Group CreateGroup GetGroup
ConnectorDefinition CreateConnectorDefinition GetConnectorDefinition
CoreDefinition CreateCoreDefinition GetCoreDefinition
DeviceDefinition CreateDeviceDefinition GetDeviceDefinition
FunctionDefinition CreateFunctionDefinition GetFunctionDefinition
LoggerDefinition CreateLoggerDefinition GetLoggerDefinition
ResourceDefinition CreateResourceDefinition GetResourceDefinition
SubscriptionDefinition CreateSubscriptionDefinition GetSubscriptionDefinition
BulkDeployment StartBulkDeployment GetBulkDeploymentStatus

Gunakan tindakan berikut untuk mencantumkan dan mengelola tanda pada sumber daya yang mendukung penandaan:

  • TagResource. Menambahkan tanda ke sumber daya. Juga digunakan untuk mengubah nilai pasangan nilai kunci tanda ini.

  • ListTagsForResource. Daftar tanda untuk sumber daya.

  • UntagResource. Menghapus tanda dari sumber daya.

Anda dapat menambahkan atau menghapus tanda pada sumber daya kapan saja. Untuk mengubah nilai kunci tanda, menambahkan tanda ke sumber daya yang mendefinisikan kunci yang sama dan nilai baru. Nilai baru menimpa nilai lama. Anda dapat mengatur nilai tanda menjadi sebuah string kosong, tetapi Anda tidak dapat mengatur nilai tanda menjadi nol.

Jika Anda menghapus sebuah sumber daya, semua tanda yang berkaitan dengan sumber daya tersebut juga dihapus.

catatan

Jangan bingung antara tanda sumber daya dengan atribut yang dapat Anda tetapkan pada hal AWS IoT ini. Meskipun core Greengrass adalah hal AWS IoT ini, tanda sumber daya yang dijelaskan dalam topik ini dilampirkan ke CoreDefinition, bukan ke core.

Menggunakan tanda dengan kebijakan IAM

Di kebijakan IAM, Anda dapat menggunakan tag sumber daya untuk mengontrol akses pengguna dan izin. Misalnya, kebijakan dapat mengizinkan pengguna untuk membuat hanya sumber daya yang memiliki tanda tertentu. Kebijakan juga dapat membatasi pengguna untuk membuat atau memodifikasi sumber daya yang memiliki tanda tertentu. Anda dapat memberi tanda pada sumber daya selama pembuatan (disebut Tag dibuat) sehingga nanti Anda tidak perlu menjalankan skrip penandaan khusus. Ketika lingkungan baru diluncurkan dengan tanda, izin IAM yang sesuai akan diterapkan secara otomatis.

Kunci konteks syarat berikut dan nilai-nilai dapat digunakan dalam elemen Condition (juga disebut Condition blok) dari kebijakan.

greengrass:ResourceTag/tag-key: tag-value

Izinkan atau tolak tindakan pengguna pada sumber daya dengan tanda tertentu.

aws:RequestTag/tag-key: tag-value

Memerlukan tanda tertentu untuk digunakan (atau tidak digunakan) saat membuat permintaan API agar membuat atau memodifikasi tanda pada sumber daya yang dapat ditandai.

aws:TagKeys: [tag-key, ...]

Memerlukan sekumpulan kunci tanda tertentu untuk digunakan (atau tidak digunakan) saat membuat permintaan API agar membuat atau memodifikasi sumber daya yang dapat ditandai.

Syarat kunci konteks dan nilai-nilai dapat digunakan hanya pada tindakan AWS IoT Greengrass yang bertindak pada sumber daya yang dapat ditandai. Tindakan ini mengambil sumber daya sebagai parameter yang diperlukan. Sebagai contoh, Anda dapat mengatur akses bersyarat pada GetGroupVersion. Anda tidak dapat mengatur akses bersyarat di AssociateServiceRoleToAccount karena tidak ada sumber daya (sebagai contoh, grup, definisi core, atau definisi perangkat) yang dapat ditandai untuk direferensikan dalam permintaan.

Untuk informasi selengkapnya, lihat Mengontrol akses menggunakan tanda dan Referensi kebijakan IAM JSON dalam Panduan Pengguna IAM. Referensi kebijakan JSON mencakup sintaks detail, deskripsi, dan contoh elemen, variabel, dan logika evaluasi kebijakan JSON di IAM.

Contoh kebijakan IAM

Kebijakan contoh berikut menerapkan izin berbasis tanda yang membatasi pengguna beta untuk tindakan pada sumber daya beta saja.

  • Pernyataan pertama mengizinkan pengguna IAM untuk bertindak pada sumber daya yang memiliki tanda env=beta saja.

  • Pernyataan kedua mencegah pengguna IAM menghapus tanda env=beta dari sumber daya. Ini melindungi pengguna dari menghapus akses mereka sendiri.

    catatan

    Jika Anda menggunakan tanda untuk mengontrol akses ke sumber daya, Anda juga harus mengelola izin yang memungkinkan pengguna untuk menambahkan tanda atau menghapus tanda dari sumber daya yang sama tersebut. Jika tidak, dalam beberapa kasus, pengguna dapat mengakali pembatasan Anda dan mendapatkan akses atas sumber daya dengan memodifikasi tandanya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "greengrass:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "greengrass:ResourceTag/env": "beta"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "greengrass:UntagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/env": "beta"
                }
            }
        }
    ]
}

Untuk mengizinkan pengguna menandai pada buat, Anda harus memberinya izin yang sesuai. Kebijakan berikut mencakup syarat "aws:RequestTag/env": "beta" pada tindakan greengrass:TagResource dan greengrass:CreateGroup ini, yang memungkinkan pengguna untuk membuat grup hanya jika mereka menandai grup dengan env=beta. Hal ini secara efektif memaksa pengguna untuk menandai grup baru.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "greengrass:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "beta"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "greengrass:CreateGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "beta"
                }
            }
        }
    ]
}

Potongan berikut menunjukkan bagaimana Anda dapat menentukan beberapa nilai tanda untuk kunci tanda dengan melampirkannya dalam daftar:

"StringEquals" : {
    "greengrass:ResourceTag/env" : ["dev", "test"]
}

Lihat juga