AWS IoT Greengrass Version 1 entró en la fase de vida útil prolongada el 30 de junio de 2023. Para obtener más información, consulte la política de mantenimiento de AWS IoT Greengrass V1 Después de esta fecha, AWS IoT Greengrass V1 no publicará actualizaciones que proporcionen características, mejoras, correcciones de errores o parches de seguridad. Los dispositivos que se ejecuten en AWS IoT Greengrass V1 no se verán afectados y seguirán funcionando y conectándose a la nube. Le recomendamos encarecidamente que migre a AWS IoT Greengrass Version 2, ya que añade importantes características nuevas y es compatible con más plataformas.
Etiquetar los recursos de AWS IoT Greengrass
Las etiquetas pueden ayudarle a organizar y administrar sus grupos de AWS IoT Greengrass. Puede utilizar las etiquetas para asignar metadatos a grupos, implementaciones por lotes y los núcleos, dispositivos y otros recursos que se añaden a grupos. Las etiquetas también se pueden utilizar en políticas de IAM para definir acceso condicional a sus recursos de Greengrass.
nota
En la actualidad, no se admiten etiquetas de recursos de Greengrass con los grupos de facturación o los informes de asignación de costos de AWS IoT.
Conceptos básicos de etiquetas
Las etiquetas le permiten clasificar los recursos de AWS IoT Greengrass, por ejemplo, según su finalidad, propietario y entorno. Cuando tiene muchos recursos del mismo tipo, ya que puede identificar rápidamente un recurso en función de las etiquetas que tenga asociadas. Una etiqueta es una clave y un valor opcional, ambos definidos por el usuario. Le recomendamos que diseñe un conjunto de claves de etiqueta para cada tipo de recurso. Mediante el uso de un conjunto coherente de claves de etiquetas, podrá administrar los recursos de más fácilmente. Por ejemplo, puede definir un conjunto de etiquetas para sus grupos de modo que le resulte más fácil hacer un seguimiento de la ubicación de la fábrica de sus dispositivos principales. Para obtener más información, consulte Estrategias de etiquetado de AWS
Compatibilidad con el etiquetado en la consola de AWS IoT
Puede crear, ver y administrar etiquetas para sus recursos de Group
de Greengrass en la consola de AWS IoT. Antes de crear etiquetas, tenga en cuenta las restricciones de etiquetado. Para obtener más información, consulte este artículo sobre las convenciones de nomenclatura y el uso de etiquetas en la Referencia general de Amazon Web Services.
- Para asignar etiquetas al crear un grupo, realice el siguiente procedimiento:
-
Puede asignar etiquetas a un grupo cuando cree uno. Seleccione Añadir nueva etiqueta en la sección Etiquetas para ver los campos de entrada del etiquetado.
- Para ver y administrar etiquetas desde la página de configuración del grupo, realice el siguiente procedimiento:
-
Puede ver y administrar las etiquetas desde la página de configuración del grupo seleccionando Ver ajustes. En la sección Etiquetas del grupo, elija Administrar etiquetas para añadir, editar o eliminar etiquetas de grupo.
Compatibilidad con el etiquetado en la API de AWS IoT Greengrass
Debe usar la API de AWS IoT Greengrass para crear, enumerar y administrar etiquetas para recursos de AWS IoT Greengrass que admiten el etiquetado. Antes de crear etiquetas, tenga en cuenta las restricciones de etiquetado. Para obtener más información, consulte este artículo sobre las convenciones de nomenclatura y el uso de etiquetas en la Referencia general de Amazon Web Services.
Para añadir etiquetas durante la creación de recursos, defínales en la propiedad
tags
del recurso.Para añadir etiquetas después de crear un recurso o para actualizar valores de etiqueta, utilice la acción
TagResource
.Para quitar etiquetas de un recurso, utilice la acción
UntagResource
.Para recuperar las etiquetas que están asociadas a un recurso, utilice la acción
ListTagsForResource
u obtenga el recurso e inspeccione su propiedadtags
.
La tabla siguiente contiene una lista de los recursos que puede etiquetar en la API de AWS IoT Greengrass y sus acciones Create
y Get
correspondientes.
Recurso | Creación | Get |
---|---|---|
Group |
CreateGroup |
GetGroup |
ConnectorDefinition |
CreateConnectorDefinition |
GetConnectorDefinition |
CoreDefinition |
CreateCoreDefinition |
GetCoreDefinition |
DeviceDefinition |
CreateDeviceDefinition |
GetDeviceDefinition |
FunctionDefinition |
CreateFunctionDefinition |
GetFunctionDefinition |
LoggerDefinition |
CreateLoggerDefinition |
GetLoggerDefinition |
ResourceDefinition |
CreateResourceDefinition |
GetResourceDefinition |
SubscriptionDefinition |
CreateSubscriptionDefinition |
GetSubscriptionDefinition |
BulkDeployment
|
StartBulkDeployment |
GetBulkDeploymentStatus |
Utilice las siguientes acciones para enumerar y administrar etiquetas para recursos que admiten el etiquetado:
-
TagResource
. Agrega etiquetas a un recurso. Se utiliza también para cambiar el valor del par clave-valor de la etiqueta. -
ListTagsForResource
. Enumera las etiquetas de un recurso. -
UntagResource
. Elimina etiquetas de un recurso.
Puede agregar o quitar etiquetas de un recurso en cualquier momento. Para cambiar el valor de una clave de etiqueta, añada una etiqueta al recurso que defina la misma clave y el nuevo valor. El valor nuevo sobrescribe el valor antiguo. Puede establecer un valor como una cadena vacía, pero no puede definir un valor como nulo.
Al eliminar un recurso, también se eliminarán las etiquetas que este tenga asociadas.
nota
No confunda las etiquetas de recursos a los atributos que puede asignar a objetos de AWS IoT. Aunque los núcleos de Greengrass son objetos de AWS IoT, las etiquetas de recursos que se describen en este tema están asociados a una CoreDefinition
, no al objeto de núcleo.
Uso de etiquetas con políticas de IAM
En las políticas de IAM, puede utilizar etiquetas de recursos para controlar los permisos y el acceso de usuarios. Por ejemplo, las políticas pueden permitir a los usuarios crear solo aquellos recursos que tienen una etiqueta específica. Las políticas también puede limitar la creación o modificación de recursos que tengan determinadas etiquetas por parte de los usuarios. Puede etiquetar recursos durante la creación (denominados etiqueta durante la creación) para no tener que ejecutar scripts de etiquetado personalizados más tarde. Cuando se lanzan nuevos entornos con etiquetas, los permisos de IAM correspondientes se aplican automáticamente.
Las siguientes claves y valores de contexto de condición se pueden utilizar en el elemento Condition
(también denominado bloque Condition
) de la política.
greengrass:ResourceTag/
tag-key
:tag-value
-
Permita o deniegue acciones de los usuarios en recursos con etiquetas específicas.
aws:RequestTag/
tag-key
:tag-value
-
Requiera el uso de una etiqueta específica (o no utilizada) al realizar solicitudes de la API para crear o modificar etiquetas en un recurso etiquetable.
aws:TagKeys: [
tag-key
, ...]-
Requiera el uso de un conjunto de claves de etiqueta específico (o no utilizado) al realizar una solicitud a la API para crear o modificar un recurso etiquetable.
Los valores y las claves de contexto de condición solo se pueden utilizar en acciones de AWS IoT Greengrass que actúan sobre un recurso etiquetable. Estas acciones toman el recurso como parámetro requerido. Por ejemplo, puede establecer acceso condicional en el GetGroupVersion
. No puede establecer acceso condicional en AssociateServiceRoleToAccount
dado que no se hace referencia a ningún recurso etiquetable (por ejemplo, grupo, definición de núcleo o definición de dispositivo) en la solicitud.
Para obtener más información, consulte Control de acceso mediante etiquetas y Referencia de políticas JSON de IAM en la Guía del usuario de IAM. La referencia de política JSON incluye la sintaxis, descripciones y ejemplos detallados de los elementos, variables y lógica de evaluación de las políticas JSON en IAM.
Ejemplos de políticas de IAM
La política del ejemplo siguiente aplica permisos basados en etiquetas que limitan a un usuario beta solo a acciones en recursos beta.
-
La primera instrucción permite a un usuario de IAM actuar sobre recursos que tienen solo la etiqueta env=beta.
-
La segunda instrucción evita que un usuario de IAM quite la etiqueta env=beta de los recursos. Esto protege al usuario de eliminar su propio acceso.
nota
Si utiliza etiquetas para controlar el acceso a recursos, también debe administrar los permisos que permiten a los usuarios añadir o quitar etiquetas de estos mismos recursos. De lo contrario, en algunos casos, sería posible para que los usuarios eludan sus restricciones y obtengan acceso a un recurso modificando sus etiquetas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "greengrass:*", "Resource": "*", "Condition": { "StringEquals": { "greengrass:ResourceTag/env": "beta" } } }, { "Effect": "Deny", "Action": "greengrass:UntagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "beta" } } } ] }
Para permitir a los usuarios etiquetar durante la creación, debe proporcionarles los permisos adecuados. La siguiente política de ejemplo incluye la condición "aws:RequestTag/env": "beta"
en las acciones greengrass:TagResource
y greengrass:CreateGroup
, que permiten a los usuarios crear un grupo solo si etiquetan el grupo con env=beta. Esto fuerza a los usuarios de manera eficiente a etiquetar nuevos grupos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "greengrass:TagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "beta" } } }, { "Effect": "Allow", "Action": "greengrass:CreateGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "beta" } } } ] }
El siguiente fragmento muestra cómo puede especificar varios valores de etiqueta para una clave de etiqueta encerrándola en una lista:
"StringEquals" : { "greengrass:ResourceTag/env" : ["dev", "test"] }
Véase también
-
Etiquetado de recursos de AWS en Referencia general de Amazon Web Services.