AWS IoT Greengrass Version 1 è entrato nella fase di estensione della vita utile il 30 giugno 2023. Per ulteriori informazioni, consulta la politica AWS IoT Greengrass V1 di manutenzione. Dopo questa data, AWS IoT Greengrass V1 non rilascerà aggiornamenti che forniscano funzionalità, miglioramenti, correzioni di bug o patch di sicurezza. I dispositivi che funzionano AWS IoT Greengrass V1 non subiranno interruzioni e continueranno a funzionare e a connettersi al cloud. Ti consigliamo vivamente di eseguire la migrazione a AWS IoT Greengrass Version 2, che aggiunge nuove importanti funzionalità e supporto per piattaforme aggiuntive.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Tagging delle risorse AWS IoT Greengrass
I tag sono utili per organizzare e gestire i gruppi AWS IoT Greengrass. Puoi usare i tag per assegnare metadati ai gruppi, le distribuzioni di massa, i core, i dispositivi e altre risorse che vengono aggiunti ai gruppi. I tag possono essere utilizzati anche nelle policy IAM per definire l'accesso condizionale alle risorse Greengrass.
Nota
Attualmente, i tag delle risorse Greengrass non sono supportati per i gruppi di fatturazione o i report di allocazione dei costi di AWS IoT.
Nozioni di base sui tag
I tag consentono di categorizzare le tue risorse AWS IoT Greengrass, ad esempio, per scopo, proprietario o ambiente. Se disponi di tante risorse dello stesso tipo, puoi rapidamente individuare una risorsa specifica in base ai tag assegnati a essa. Un tag è formato da una chiave e da un valore opzionale, entrambi definiti da te. Ti consigliamo di creare un set di chiavi di tag per ciascun tipo di risorsa. Con un set di chiavi di tag coerente, la gestione delle risorse risulta semplificata. Ad esempio, è possibile definire un set di tag per i tuoi gruppi che consente di monitorare la sede di produzione dei tuoi dispositivi core. Per ulteriori informazioni, consulta Strategie di tagging di AWS
Supporto del tagging nella console AWS IoT
Puoi creare, visualizzare e gestire i tag per le risorse Group Greengrass nella console AWS IoT. Prima di creare i tag, tenere presente le limitazioni relative al tagging. Per ulteriori informazioni, consulta la sezione relativa alle convenzioni di denominazione e utilizzo dei tag nella Riferimenti generali di Amazon Web Services.
- Per assegnare tag al momento della creazione di un gruppo
-
Puoi assegnare tag a un gruppo durante la creazione del gruppo. Scegli Aggiungi nuovo tag nella sezione Tag per mostrare i campi di input per i tag.
- Per visualizzare e gestire i tag dalla pagina di configurazione del gruppo
-
Puoi visualizzare e gestire i tag dalla pagina di configurazione del gruppo scegliendo Visualizza impostazioni. Nella sezione Tag del gruppo, scegli Gestisci tag per aggiungere, modificare o rimuovere i tag di gruppo.
Supporto del tagging nell'API di AWS IoT Greengrass
È necessario utilizzare l'API di AWS IoT Greengrass per creare e gestire i tag per le risorse di AWS IoT Greengrass che supportano il tagging. Prima di creare i tag, tenere presente le limitazioni relative al tagging. Per ulteriori informazioni, consulta la sezione relativa alle convenzioni di denominazione e utilizzo dei tag nella Riferimenti generali di Amazon Web Services.
Per aggiungere i tag durante la creazione delle risorse, definirli nella proprietà
tagsdella risorsa.Per aggiungere i tag dopo aver creato una risorsa o per aggiornare i valori dei tag, utilizzare l'operazione
TagResource.Per rimuovere i tag da una risorsa, utilizzare l'operazione
UntagResource.Per recuperare i tag associati a una risorsa, utilizzare l'operazione
ListTagsForResourceo ottenere la risorsa e ispezionare la proprietàtags.
La tabella seguente elenca le risorse a cui è possibile applicare tag nell'API di AWS IoT Greengrass API e le operazioni Create e Get corrispondenti.
| Risorsa | Crea | Get |
|---|---|---|
Group |
CreateGroup |
GetGroup |
ConnectorDefinition |
CreateConnectorDefinition |
GetConnectorDefinition |
CoreDefinition |
CreateCoreDefinition |
GetCoreDefinition |
DeviceDefinition |
CreateDeviceDefinition |
GetDeviceDefinition |
FunctionDefinition |
CreateFunctionDefinition |
GetFunctionDefinition |
LoggerDefinition |
CreateLoggerDefinition |
GetLoggerDefinition |
ResourceDefinition |
CreateResourceDefinition |
GetResourceDefinition |
SubscriptionDefinition |
CreateSubscriptionDefinition |
GetSubscriptionDefinition |
BulkDeployment
|
StartBulkDeployment |
GetBulkDeploymentStatus |
Utilizza le operazioni seguenti per elencare e gestire i tag per le risorse che supportano il tagging:
-
TagResource. Aggiunge tag a una risorsa. Utilizzato anche per modificare il valore della coppia chiave-valore del tag. -
ListTagsForResource. Elenca i tag di una risorsa. -
UntagResource. Rimuove i tag da una risorsa.
Puoi aggiungere o modificare i tag da una risorsa in qualsiasi momento. Per modificare il valore di una chiave del tag, aggiungere un tag alla risorsa che definisca la stessa chiave e il nuovo valore. Il nuovo valore sovrascrive il valore precedente. Puoi impostare il valore su una stringa vuota, ma non su null.
Se elimini una risorsa, verranno eliminati anche tutti i tag associati alla risorsa.
Nota
Non confondere i tag delle risorse con gli attributi che è possibile assegnare a oggetti AWS IoT. Anche se i core Greengrass sono oggetti AWS IoT, i tag delle risorse descritti in questo argomento sono associati a una CoreDefinition, non all'oggetto core.
Utilizzo dei tag con policy IAM
Nelle tue policy IAM, puoi utilizzare i tag delle risorse per controllare l'accesso e le autorizzazioni degli utenti. Ad esempio, le policy possono consentire agli utenti di creare solo le risorse con un determinato tag. Le policy possono anche limitare gli utenti nella creazione o nella modifica di risorse con determinati tag. Puoi applicare tag alle risorse durante la creazione (operazione detta tag alla creazione), in modo da non dover eseguire script di tagging personalizzati in un secondo momento. Quando vengono lanciati nuovi ambienti con tag, le autorizzazioni IAM corrispondenti vengono applicate automaticamente.
I seguenti valori e chiavi di contesto della condizione possono essere utilizzati nell'elemento Condition (detto anche blocco Condition) della policy.
greengrass:ResourceTag/tag-key:tag-value-
Concedi o nega agli utenti operazioni su risorse con specifici tag.
aws:RequestTag/tag-key:tag-value-
Richiedi che un tag specifico venga utilizzato (o non utilizzato) durante la creazione di richieste API per creare o modificare tag su una risorsa compatibile con l'assegnazione di tag.
aws:TagKeys: [tag-key, ...]-
Richiedi che un set di chiavi di tag specifico venga utilizzato (o non utilizzato) durante la creazione di una richiesta API per creare o modificare una risorsa compatibile con l'assegnazione di tag.
I valori e le Chiavi di contesto della condizione possono essere utilizzati solo su operazioni AWS IoT Greengrass che agiscono su una risorsa compatibile con l'assegnazione di tag. Queste operazioni considerano la risorsa un parametro obbligatorio. Ad esempio, puoi impostare l'accesso condizionale su GetGroupVersion. Non è possibile impostare l'accesso condizionale su AssociateServiceRoleToAccount senza che nella richiesta si faccia riferimento a una risorsa compatibile con l'assegnazione di tag (ad esempio un gruppo, una definizione core o una definizione dispositivo).
Per ulteriori informazioni, consulta Controlling access using tags e IAM JSON policy reference nella IAM User Guide. Il riferimento alla policy JSON include sintassi dettagliata, descrizioni ed esempi degli elementi, delle variabili e della logica di valutazione delle policy JSON in IAM.
Policy IAM di esempio
La seguente policy di esempio applica le autorizzazioni basate su tag che vincolano un utente beta alle sole operazioni sulle risorse beta.
-
La prima istruzione consente a un utente IAM di agire solo su risorse che hanno il tag env=beta.
-
La seconda istruzione impedisce a un utente IAM di rimuovere il tag env=beta dalle risorse. Ciò offre all'utente la garanzia di non rimuoverne l'accesso.
Nota
Se si utilizzano i tag per controllare l'accesso alle risorse, è necessario anche gestire le autorizzazioni che consentono agli utenti di aggiungere o rimuovere i tag dalle stesse risorse. In caso contrario, in alcuni casi, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "greengrass:*", "Resource": "*", "Condition": { "StringEquals": { "greengrass:ResourceTag/env": "beta" } } }, { "Effect": "Deny", "Action": "greengrass:UntagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "beta" } } } ] }
Per consentire agli utenti di applicare tag al momento della creazione, è necessario fornire loro le autorizzazioni appropriate. La policy di esempio seguente include la condizione "aws:RequestTag/env": "beta"sulle operazioni greengrass:TagResource e greengrass:CreateGroup, che consentono agli utenti di creare un gruppo solo aggiungono a questo il tag env=beta. In questo modo, gli utenti sono costretti ad applicare tag ai nuovi gruppi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "greengrass:TagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "beta" } } }, { "Effect": "Allow", "Action": "greengrass:CreateGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "beta" } } } ] }
Lo snippet seguente mostra come è possibile specificare più valori di tag per una chiave di tag racchiudendoli in un elenco:
"StringEquals" : { "greengrass:ResourceTag/env" : ["dev", "test"] }
Consulta anche
-
Tagging delle risorse in AWS nella Riferimenti generali di Amazon Web Services
