Etiquetar los recursos de AWS IoT Wireless - AWS IoT Wireless
Conceptos básicos de etiquetasCrear y administrar etiquetasActualizar o enumerar etiquetas para recursosRestricciones y limitaciones en las etiquetasUso de etiquetas con políticas de IAM

Etiquetar los recursos de AWS IoT Wireless

Para ayudarle a administrar y organizar sus dispositivos, puertas de enlace, destinos y perfiles, puede asignar, si lo desea, sus propios metadatos en forma de etiquetas a cada uno de estos recursos. En esta sección, se describe qué son las etiquetas y cómo crearlas. AWS IoT Wireless no tiene grupos de facturación y usa los mismos que AWS IoT Core. Para obtener más información, consulte Billing groups en la documentación de AWS IoT Core.

Conceptos básicos de etiquetas

Cuando dispone de distintos recursos de AWS IoT Wireless del mismo tipo, puede usar etiquetas para categorizarlos de distintos modos (por ejemplo, por propósito, propietario o entorno). De este modo, puede identificar rápidamente un recurso con las etiquetas que haya asignado.

Cada etiqueta está formada por una clave y un valor opcional, ambos definidos por el usuario. Por ejemplo, podría definir un conjunto de etiquetas para un grupo de dispositivos LoRaWAN para los que se está actualizando el firmware del dispositivo. Para administrar más fácilmente los recursos, le recomendamos que cree un conjunto coherente de claves de etiqueta que responda a sus necesidades para cada tipo de recurso.

Puede buscar y filtrar sus recursos en función de las etiquetas que añada o aplique. También puede usar etiquetas para controlar el acceso a sus recursos mediante etiquetas de políticas de IAM y grupos de facturación para categorizar y hacer un seguimiento de sus costes.

Crear y administrar etiquetas

Puede crear y administrar etiquetas con el editor de etiquetas en la AWS Management Console, la AWS IoT Wireless o la AWS CLI.

Uso de la consola

Para facilitar su uso, el editor de etiquetas de AWS Management Console proporciona una forma centralizada y unificada de crear y gestionar sus etiquetas. Para más información, consulte Uso de Tag Editor en Uso de la AWS Management Console.

Uso de la API o la CLI

También puede usar la API o la CLI y asociar etiquetas a dispositivos inalámbricos, puertas de enlace, perfiles y destinos cuando los crea mediante el campo Tags de los siguientes comandos:

Actualizar o enumerar etiquetas para recursos

Puede añadir, modificar o eliminar etiquetas para recursos existentes que admitan el uso de etiquetas con los siguientes comandos:

Puede editar las claves y los valores de las etiquetas y también puede eliminar etiquetas de un recurso en cualquier momento. Puede establecer el valor de una etiqueta como una cadena vacía, pero no puede asignarle un valor nulo. Si añade una etiqueta con la misma clave que una etiqueta existente en ese recurso, el nuevo valor sobrescribirá al antiguo. Si elimina un recurso, también se eliminarán todas las etiquetas que este tenga asociadas.

Restricciones y limitaciones en las etiquetas

Se aplican las siguientes restricciones básicas a las etiquetas:

  • Cantidad máxima de etiquetas por recurso: 50.

  • Longitud máxima de la clave: 127 caracteres Unicode en UTF-8

  • Longitud máxima del valor: 255 caracteres Unicode en UTF-8

  • Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas.

  • No utilice el prefijo aws: en los nombres o valores de las etiquetas. , ya que su uso está reservado a AWS. Los nombres y valores de etiquetas que tienen este prefijo no se pueden editar ni eliminar. Las etiquetas que tengan este prefijo no cuentan para el límite de etiquetas por recurso.

  • Si se utiliza su esquema de etiquetado en múltiples servicios y recursos de , recuerde que otros servicios podrían tener otras restricciones sobre caracteres permitidos. Los caracteres permitidos son: letras, espacios y números representables en UTF-8, además de los siguientes caracteres especiales: + - = . _ : / @.

Uso de etiquetas con políticas de IAM

A fin de especificar qué recursos puede crear, modificar o utilizar un usuario, puede aplicar permisos de nivel de recurso basados en etiquetas dentro de las políticas de IAM que utiliza para las acciones API de AWS IoT Wireless. Para controlar el acceso de los usuarios (permisos) en función de las etiquetas de un recurso, utilice el elemento Condition (denominado también como el bloque Condition) con los siguientes valores y claves de contexto de condición en una política de IAM.

  • Utilice aws:ResourceTag/tag-key: tag-value para permitir o denegar acciones de los usuarios en recursos con etiquetas específicas.

  • Utilice aws:RequestTag/tag-key: tag-value para exigir (o impedir) el uso de una etiqueta específica al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.

  • Utilice aws:TagKeys: [tag-key, ...] para exigir (o impedir) el uso de un conjunto de claves de etiquetas al realizar una solicitud de API para crear o modificar un recurso que permita etiquetas.

nota

Las claves contextuales de condición y los valores de una política de IAM se aplican únicamente a las acciones de AWS IoT en las que un identificador de un recurso que se puede etiquetar es un parámetro obligatorio. Por ejemplo, el uso de DescribeEndpoint no se permite ni se deniega en función de los valores y las claves de contexto de condición, ya que no se hace referencia a ningún recurso etiquetable en esta solicitud.

Para obtener más información sobre el uso de etiquetas, consulte Control de acceso a los recursos de AWS mediante etiquetas, en la Guía del usuario de AWS Identity and Access Management. La sección de referencia de políticas JSON de IAM de esta guía incluye sintaxis, descripciones y ejemplos detallados de los elementos, variables y lógica de evaluación de las políticas JSON de IAM.

La siguiente política de ejemplo aplica dos restricciones basadas en etiquetas. Un usuario de IAM restringido por esta política:

  • No se le puede dar a un recurso la etiqueta “env=prod” (en el ejemplo, consulte la línea "aws:RequestTag/env" : "prod").

  • No se puede acceder a un recurso, ni modificarlo, si tiene una etiqueta existente “env=prod” (en el ejemplo, consulte la línea "aws:ResourceTag/env" : "prod").

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "iot:CreateMulticastGroup",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "iot:CreateMulticastGroup",
        "iot:UpdateMulticastGroup",
        "iot:GetMulticastGroup",
        "iot:ListMulticastGroups"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/env": "prod"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iot:CreateMulticastGroup",
        "iot:UpdateMulticastGroup",
        "iot:GetMulticastGroup",
        "iot:ListMulticastGroups"
      ],
      "Resource": "*"
    }
  ]
}

También puede especificar varios valores de etiqueta para una determinada clave de etiqueta encerrándola en una lista, tal y como se muestra a continuación: 

"StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
}
nota

Si permite o deniega a los usuarios acceso a recursos en función de etiquetas, debe considerar denegar explícitamente a los usuarios la posibilidad de agregar estas etiquetas o retirarlas de los mismos recursos. De lo contrario, es posible que un usuario eluda sus restricciones y obtenga acceso a un recurso modificando sus etiquetas.