Taggare le tue risorse AWS IoT Events - AWS IoT Events
Nozioni di base sui tagUtilizzo dei tag con policy IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Taggare le tue risorse AWS IoT Events

Per aiutarvi a gestire e organizzare i modelli e gli input dei rilevatori, potete facoltativamente assegnare i vostri metadati a ciascuna di queste risorse sotto forma di tag. Questa sezione descrive i tag e mostra come crearli.

Nozioni di base sui tag

I tag consentono di classificare le AWS IoT Events risorse in diversi modi, ad esempio per scopo, proprietario o ambiente. Questa funzione è utile quando si dispone di numerose risorse dello stesso tipo. Puoi identificare velocemente una risorsa specifica in base ai tag a questa assegnati.

Ogni tag è formato da una chiave e da un valore opzionale, entrambi personalizzabili. Ad esempio, è possibile definire un set di tag per gli input che consentano di tracciare i dispositivi che inviano questi input in base al tipo. Ti consigliamo di creare un set di chiavi di tag in grado di soddisfare i requisiti di ciascun tipo di risorsa. Con un set di chiavi di tag coerente, la gestione delle risorse risulta semplificata.

Puoi cercare e filtrare le risorse in base ai tag che aggiungi o applichi, utilizzare i tag per classificare e tenere traccia dei costi e anche utilizzare i tag per controllare l'accesso alle risorse, come descritto in Utilizzo dei tag con IAM le politiche nella Guida per gli AWS IoT sviluppatori.

Per una maggiore facilità d'uso, il Tag Editor integrato AWS Management Console fornisce un modo centralizzato e unificato per creare e gestire i tag. Per ulteriori informazioni, consulta Guida introduttiva a Tag Editor nella Guida per l'utente di Tagging AWS Resources and Tag Editor.

Puoi anche lavorare con i tag usando AWS CLI e il AWS IoT Events API. È possibile associare i tag ai modelli e agli input del rilevatore quando li si crea utilizzando il "Tags" campo nei seguenti comandi:

Puoi aggiungere, modificare o eliminare i tag per le risorse esistenti che supportano il tagging utilizzando i comandi seguenti:

Puoi modificare chiavi e valori di tag e rimuovere tag da una risorsa in qualsiasi momento. Puoi impostare il valore di un tag su una stringa vuota, ma non su null. Se aggiungi un tag con la stessa chiave di un tag esistente a una risorsa specifica, il nuovo valore sovrascrive quello precedente. Se elimini una risorsa, verranno eliminati anche tutti i tag associati alla risorsa.

Per ulteriori informazioni, consulta Best practice per l'etichettatura delle risorse AWS

Restrizioni e limitazioni di tag

Si applicano le seguenti limitazioni di base ai tag:

  • Numero massimo di tag per risorsa: 50

  • Lunghezza massima della chiave: 127 caratteri Unicode in -8 UTF

  • Lunghezza massima del valore: 255 caratteri Unicode in -8 UTF

  • I valori e le chiavi dei tag rispettano la distinzione tra maiuscole e minuscole.

  • Non utilizzate il "aws:" prefisso nei nomi o nei valori dei tag perché è AWS riservato all'uso. Non è possibile modificare né eliminare i nomi o i valori di tag con tale prefisso. I tag con questo prefisso non vengono conteggiati per il limite del numero di tag per risorsa.

  • Se lo schema di assegnazione dei tag viene utilizzato in più servizi e risorse , tieni presente che altri servizi potrebbero prevedere limitazioni sui caratteri consentiti. In genere, i caratteri consentiti sono: lettere, spazi e numeri rappresentabili in UTF -8 e i seguenti caratteri speciali: + - =. _:/@.

Utilizzo dei tag con policy IAM

È possibile applicare autorizzazioni a livello di risorsa basate su tag nelle politiche utilizzate per le azioni. IAM AWS IoT Events API In questo modo è possibile controllare meglio le risorse che un utente può creare, modificare o utilizzare.

Utilizzi l'Conditionelemento (chiamato anche Condition blocco) con le seguenti chiavi e valori contestuali delle condizioni in una IAM politica per controllare l'accesso degli utenti (autorizzazioni) in base ai tag di una risorsa:

  • Utilizza aws:ResourceTag/<tag-key>: <tag-value> per concedere o negare agli utenti operazioni su risorse con specifici tag.

  • aws:RequestTag/<tag-key>: <tag-value>Da utilizzare per richiedere che venga utilizzato (o non utilizzato) un tag specifico quando si effettua una API richiesta per creare o modificare una risorsa che consente i tag.

  • aws:TagKeys: [<tag-key>, ...]Da utilizzare per richiedere che venga utilizzato (o non utilizzato) un set specifico di chiavi di tag quando si effettua una API richiesta per creare o modificare una risorsa che consente i tag.

Nota

Le chiavi e i valori del contesto della condizione in una IAM policy si applicano solo a quelle AWS IoT Events azioni in cui un identificatore di una risorsa che può essere taggata è un parametro obbligatorio.

Il controllo dell'accesso tramite i tag nella Guida AWS Identity and Access Management per l'utente contiene informazioni aggiuntive sull'uso dei tag. La sezione di riferimento alle IAM JSON politiche di quella guida contiene sintassi, descrizioni ed esempi dettagliati degli elementi, delle variabili e della logica di valutazione delle JSON politiche inIAM.

La policy di esempio seguente applica due restrizioni basate su tag. Un utente limitato da questa politica:

  • Non può assegnare a una risorsa il tag "env = prod" (nell'esempio, consulta la riga "aws:RequestTag/env" : "prod")

  • Non può modificare o accedere a una risorsa con un tag esistente "env = prod" (nell'esempio, consulta la riga "aws:ResourceTag/env" : "prod").

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iotevents:CreateDetectorModel",
                "iotevents:CreateAlarmModel",
                "iotevents:CreateInput",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "prod"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "iotevents:DescribeDetectorModel",
                "iotevents:DescribeAlarmModel",
                "iotevents:UpdateDetectorModel",
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteDetectorModel",
                "iotevents:DeleteAlarmModel",
                "iotevents:ListDetectorModelVersions",
                "iotevents:ListAlarmModelVersions",
                "iotevents:UpdateInput",
                "iotevents:DescribeInput",
                "iotevents:DeleteInput",
                "iotevents:ListTagsForResource",
                "iotevents:TagResource",
                "iotevents:UntagResource",
                "iotevents:UpdateInputRouting"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/env": "prod"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:*"
            ],
            "Resource": "*"
        }
    ]
}

Puoi anche specificare più valori di tag per una determinata chiave di tag racchiudendoli in un elenco, come segue.


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
            }
Nota

Se consenti o neghi a un utente l'accesso a risorse in base ai tag, devi considerare esplicitamente di negare agli utenti la possibilità di aggiungere o rimuovere tali tag dalle stesse risorse. In caso contrario, un utente può eludere le restrizioni e ottenere l'accesso a una risorsa modificandone i tag.