Marcando seus Recursos AWS IoT Greengrass - AWS IoT Greengrass
Conceitos Básicos de TagsUtilização de tags com políticas do IAMConsulte também

AWS IoT Greengrass Version 1 entrou na fase de vida útil prolongada em 30 de junho de 2023. Para obter mais informações, consulte política de manutenção do AWS IoT Greengrass V1. Após essa data, AWS IoT Greengrass V1 não lançaremos atualizações que forneçam recursos, aprimoramentos, correções de erros ou patches de segurança. Os dispositivos que funcionam AWS IoT Greengrass V1 não serão interrompidos e continuarão operando e se conectando à nuvem. É altamente recomendável que você migre para AWS IoT Greengrass Version 2, o que adiciona novos recursos significativos e suporte para plataformas adicionais.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Marcando seus Recursos AWS IoT Greengrass

As tags podem ajudá-lo a organizar e gerenciar seus grupos do AWS IoT Greengrass. Você pode usar tags para atribuir metadados a grupos, implantações em massa, núcleos, dispositivos e outros recursos que são adicionados aos grupos. As tags também podem ser usadas em políticas do IAM para definir o acesso condicional aos recursos do Greengrass.

nota

No momento, as tags de recurso do Greengrass não são compatíveis com relatórios de alocação de custos ou grupos de faturamento da AWS IoT.

Conceitos Básicos de Tags

As tags permitem categorizar os recursos do AWS IoT Greengrass. Por exemplo, por finalidade, por proprietário e por ambiente. Quando há muitos recursos do mesmo tipo, você pode identificar rapidamente um recurso com base nas tags que estão anexadas a ele. Uma tag consiste em uma chave e um valor opcional, ambos definidos por você. Recomendamos que você desenvolva um conjunto de chave de tags para cada tipo de recurso. Usar um conjunto consistente de chaves de tags facilita para você gerenciar seus recursos da . Por exemplo, é possível definir um conjunto de tags para os grupos que ajudam você a monitorar a localização da fábrica de seus dispositivos principais. Para obter mais informações, consulte Estratégias de marcação da AWS.

Suporte à marcação no console do AWS IoT

Você pode criar, visualizar e gerenciar tags para seus recursos de Group do Greengrass no console do AWS IoT. Antes de criar tags, esteja ciente dessas restrições de marcação. Para obter mais informações, consulte Convenções de nomenclatura e uso de tags na Referência geral da Amazon Web Services.

Para atribuir tags ao criar um grupo

Você pode atribuir tags a um grupo ao criar o grupo. Selecione Adicionar nova tag na seção Tags para mostrar os campos de entrada de marcação.

Como visualizar e gerenciar tags na página de configuração do grupo

Você pode visualizar e gerenciar tags na página de configuração do grupo selecionando Visualizar configurações. Na seção Tags do grupo, selecione Gerenciar tags para adicionar, editar ou remover tags de grupo.

Suporte à atribuição de tags na API do AWS IoT Greengrass

Você pode usar a API do AWS IoT Greengrass para criar, listar e gerenciar as tags de recursos do AWS IoT Greengrass que ofereçam suporte à atribuição de tags. Antes de criar tags, esteja ciente dessas restrições de marcação. Para obter mais informações, consulte Convenções de nomenclatura e uso de tags na Referência geral da Amazon Web Services.

  • Para adicionar tags durante a criação do recurso, defina-as na propriedade tags do recurso.

  • Para adicionar tags após a criação de um recurso ou para atualizar valores de tag, use a ação TagResource.

  • Para remover tags de um recurso, use a ação UntagResource.

  • Para recuperar as tags que estão associadas a um recurso, use a ação ListTagsForResource ou obtenha o recurso e inspecione a propriedade tags dele.

A tabela a seguir lista os recursos que você pode marcar na API do AWS IoT Greengrass e suas ações Get e Create correspondentes.

Recurso Criar Obtenção
Group CreateGroup GetGroup
ConnectorDefinition CreateConnectorDefinition GetConnectorDefinition
CoreDefinition CreateCoreDefinition GetCoreDefinition
DeviceDefinition CreateDeviceDefinition GetDeviceDefinition
FunctionDefinition CreateFunctionDefinition GetFunctionDefinition
LoggerDefinition CreateLoggerDefinition GetLoggerDefinition
ResourceDefinition CreateResourceDefinition GetResourceDefinition
SubscriptionDefinition CreateSubscriptionDefinition GetSubscriptionDefinition
BulkDeployment StartBulkDeployment GetBulkDeploymentStatus

Use as ações a seguir para listar e gerenciar as tags de recursos que ofereçam suporte à atribuição de tags:

Você pode adicionar tags a um recurso ou removê-las a qualquer momento. Para alterar o valor de uma chave de tag, adicione uma tag ao recurso que defina a mesma chave e o novo valor. O novo valor substituirá o valor antigo. Você pode definir um valor a uma string vazia, mas não pode definir o valor como nulo.

Quando você excluir um recurso, as tags associadas ao recurso também serão excluídas.

nota

Não confunda tags de recurso com os atributos que você pode atribuir a coisas da AWS IoT. Embora os núcleos do Greengrass sejam coisas da AWS IoT, as tags de recurso que são descritas neste tópico são anexadas a um CoreDefinition, não à coisa principal.

Utilização de tags com políticas do IAM

Em suas políticas do IAM, você pode usar tags de recurso para controlar o acesso de usuários e permissões. Por exemplo, as políticas podem permitir que os usuários criem somente os recursos que tenham uma tag específica. As políticas também podem restringir os usuários de criar ou modificar recursos que tenham determinadas tags. Você pode marcar recursos durante a criação (chamado marcar ao criar), para que não seja necessário executar scripts de tags personalizadas posteriormente. Quando novos ambientes são iniciados com tags, as permissões correspondentes do IAM são aplicadas automaticamente.

As chaves de contexto de condição e os valores a seguir podem ser usados no elemento Condition (também chamado de bloco Condition) da política.

greengrass:ResourceTag/tag-key: tag-value

Permite ou nega ações do usuário em recursos com tags específicas.

aws:RequestTag/tag-key: tag-value

Exige que uma tag específica seja (ou não) usada ao fazer solicitações de API para criar ou modificar tags em um recurso marcável.

aws:TagKeys: [tag-key, ...]

Exige que um conjunto específico de chaves de tag seja (ou não) usado ao fazer uma solicitação de API para criar ou modificar recurso marcável.

As chaves de contexto de condição e os valores podem ser usados somente em ações do AWS IoT Greengrass que atuam em um recurso marcável. Essas ações consideram o recurso como um parâmetro obrigatório. Por exemplo, você pode definir o acesso condicional no GetGroupVersion. Não é possível definir o acesso condicional em AssociateServiceRoleToAccount porque não foi feita nenhuma referência a um recurso marcável (por exemplo, grupo, definição de núcleo ou definição de dispositivo) na solicitação.

Para obter mais informações, consulte Controlando o acesso usando tags e Referência de política JSON do IAM no Guia do usuário do IAM. A referência de políticas JSON inclui a sintaxe detalhada, descrições e exemplos dos elementos, variáveis e lógica de avaliação de políticas JSON no IAM.

Políticas de exemplo do IAM

A política de exemplo a seguir aplica permissões baseadas em tags que restringem um usuário beta a ações somente em recursos beta.

  • A primeira instrução permite que um usuário do IAM atue em recursos que tenham somente a tag env=beta.

  • A segunda instrução impede que um usuário do IAM remova a tag env=beta de recursos. Isso impede que o usuário remova seu próprio acesso.

    nota

    Se usar tags para controlar o acesso a recursos, você também deverá gerenciar as permissões que permitem que os usuários adicionem ou removam tags desses mesmos recursos. Caso contrário, em alguns casos, talvez seja possível que os usuários contornem suas restrições e ganhem acesso a um recurso modificando as tags.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "greengrass:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "greengrass:ResourceTag/env": "beta"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "greengrass:UntagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/env": "beta"
                }
            }
        }
    ]
}

Para permitir que os usuários adicionem marcações ao criar, você deverá fornecer as permissões apropriadas. O exemplo de política a seguir inclui a condição "aws:RequestTag/env": "beta" nas ações greengrass:TagResource e greengrass:CreateGroup, o que permite que os usuários criem um grupo somente se marcarem o grupo com a tag env=beta. Isso efetivamente força os usuários a marcar novos grupos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "greengrass:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "beta"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "greengrass:CreateGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "beta"
                }
            }
        }
    ]
}

O trecho a seguir mostra como você pode especificar vários valores de tag para determinada chave de tag, colocando-os em uma lista:

"StringEquals" : {
    "greengrass:ResourceTag/env" : ["dev", "test"]
}

Consulte também