Marcando seus recursos AWS IoT Events - AWS IoT Events
Conceitos Básicos de TagsUsar tags com as políticas do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Marcando seus recursos AWS IoT Events

Para ajudar no gerenciamento e na organização de suas instâncias do sistema, também é possível atribuir seus próprios metadados a cada um desses recursos na forma de tags. Esta seção descreve tags e mostra a você como criá-las.

Conceitos Básicos de Tags

As tags permitem que você categorize seus AWS IoT Events recursos de maneiras diferentes, por exemplo, por finalidade, proprietário ou ambiente. Isso é útil quando você tem muitos recursos do mesmo tipo. Identifique rapidamente um recurso específico com base nas tags atribuídas a ele.

Cada tag consiste em uma chave e em um valor opcional, ambos definidos por você. Por exemplo, você pode definir um conjunto de tags para as suas entradas que ajuda a rastrear os dispositivos que enviam essas entradas por seu tipo. Recomendamos que você crie um conjunto de chave de tags que atenda às suas necessidades para cada tipo de recurso. Usar um conjunto consistente de chaves de tags facilita para você gerenciar seus recursos da .

Você pode pesquisar e filtrar recursos com base nas tags adicionadas ou aplicadas, usar tags para categorizar e monitorar seus custos e também usar tags para controlar o acesso aos seus recursos, conforme descrito em Uso de tags com IAM políticas no Guia do AWS IoT desenvolvedor.

Para facilitar o uso, o Editor de tags no AWS Management Console fornece uma maneira central e unificada de criar e gerenciar suas tags. Para obter mais informações, consulte Introdução ao Editor de tags no Guia do usuário dos AWS Recursos de marcação e do editor de tags.

Você também pode trabalhar com tags usando o AWS CLI e AWS IoT Events API o. É possível associar tags a modelos de detector e entradas quando você as cria usando o campo "Tags" nos seguintes comandos:

Você pode adicionar, modificar ou excluir tags de recursos existentes que oferecem suporte a marcação, usando os seguintes comandos:

É possível editar chaves de tags e valores, e é possível remover as tags de um recurso a qualquer momento. É possível definir o valor de uma tag a uma string vazia, mas não pode configurar o valor de um tag como nula. Caso adicione uma tag com a mesma chave de outra existente no recurso, o novo valor substituirá o antigo. Se você excluir um recurso, todas as tags associadas ao recurso também serão excluídas.

Para obter mais informações, consulte Melhores práticas para marcar recursos AWS

Restrições e limitações de tags

As restrições básicas a seguir se aplicam a tags:

  • Número máximo de tags por recurso –- 50

  • Tamanho máximo da chave — 127 caracteres Unicode em UTF -8

  • Tamanho máximo do valor — 255 caracteres Unicode em -8 UTF

  • As chaves e valores das tags diferenciam maiúsculas de minúsculas.

  • Não use o "aws:" prefixo nos nomes ou valores das tags porque ele está reservado para AWS uso. Você não pode editar nem excluir nomes ou valores de tag com esse prefixo. As tags com esse prefixo não contam para as tags por limite de recurso.

  • Caso seu esquema de marcação seja usado em vários serviços e recursos , lembre-se de que outros serviços podem possuir restrições em caracteres permitidos. Geralmente, os caracteres permitidos são: letras, espaços e números representáveis em UTF -8 e os seguintes caracteres especiais: + - =. _:/@.

Usar tags com as políticas do IAM

Você pode aplicar permissões em nível de recurso baseadas em tags nas IAM políticas que você usa para ações. AWS IoT Events API Isso oferece a você mais controle sobre quais recursos um usuário pode criar, modificar ou usar.

Você usa o Condition elemento (também chamado de Condition bloco) com as seguintes chaves e valores de contexto de condição em uma IAM política para controlar o acesso do usuário (permissões) com base nas tags de um recurso:

  • Use aws:ResourceTag/<tag-key>: <tag-value>, para permitir ou negar ações do usuário em recursos com tags específicas.

  • Use aws:RequestTag/<tag-key>: <tag-value> para exigir que uma tag específica seja usada (ou não usada) ao fazer uma API solicitação para criar ou modificar um recurso que permita tags.

  • Use aws:TagKeys: [<tag-key>, ...] para exigir que um conjunto específico de chaves de tag seja usado (ou não usado) ao fazer uma API solicitação para criar ou modificar um recurso que permita tags.

nota

As chaves e valores de contexto da condição em uma IAM política se aplicam somente às AWS IoT Events ações em que um identificador de um recurso capaz de ser marcado é um parâmetro obrigatório.

Controle de acesso usando tags no Guia do usuário do AWS Identity and Access Management tem informações adicionais sobre o uso de tags. A seção de referência de IAM JSON políticas desse guia tem sintaxe detalhada, descrições e exemplos dos elementos, variáveis e lógica de avaliação das JSON políticas emIAM.

A política de exemplo a seguir aplica duas restrições com base em tag. Um usuário restrito por essa política:

  • Não é possível atribuir um recurso à tag "env=prod" (no exemplo, consulte a linha "aws:RequestTag/env" : "prod"

  • Não é possível modificar ou acessar um recurso que tenha uma tag "env=prod" (no exemplo, consulte a linha "aws:ResourceTag/env" : "prod").

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iotevents:CreateDetectorModel",
                "iotevents:CreateAlarmModel",
                "iotevents:CreateInput",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "prod"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "iotevents:DescribeDetectorModel",
                "iotevents:DescribeAlarmModel",
                "iotevents:UpdateDetectorModel",
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteDetectorModel",
                "iotevents:DeleteAlarmModel",
                "iotevents:ListDetectorModelVersions",
                "iotevents:ListAlarmModelVersions",
                "iotevents:UpdateInput",
                "iotevents:DescribeInput",
                "iotevents:DeleteInput",
                "iotevents:ListTagsForResource",
                "iotevents:TagResource",
                "iotevents:UntagResource",
                "iotevents:UpdateInputRouting"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/env": "prod"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:*"
            ],
            "Resource": "*"
        }
    ]
}

Também é possível especificar vários valores de tags para uma determinada chave de tag, colocando-os em uma lista, conforme mostrado.


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
            }
nota

Se você permitir ou negar aos usuários o acesso a recursos com base em tags, considere negar explicitamente aos usuários a capacidade de adicionar essas tags ou removê-las dos mesmos recursos. Caso contrário, é possível que um usuário contorne suas restrições e obtenha acesso a um recurso modificando as tags.