AWS IoT Greengrass Version 1 は、2023 年 6 月 30 日に延長ライフフェーズに入りました。詳細については、「AWS IoT Greengrass V1 メンテナンスポリシー」を参照してください。この日以降、 AWS IoT Greengrass V1 は機能、機能強化、バグ修正、またはセキュリティパッチを提供する更新をリリースしません。で実行されるデバイスは中断 AWS IoT Greengrass V1 されず、引き続き運用され、クラウドに接続されます。への移行 AWS IoT Greengrass Version 2を強くお勧めします。これにより、重要な新機能が追加され、追加のプラットフォーム がサポートされます。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS IoT Greengrass リソースのタグ付け
タグにより、AWS IoT Greengrass グループを整理および整理することができます。タグを使用して、グループ、一括デプロイ、およびグループに追加されたコア、デバイス、その他のリソースにメタデータを割り当てることができます。タグを IAM ポリシーで使用して、Greengrass リソースへの条件付きアクセスを定義することもできます。
注記
現在のところ、Greengrass リソースタグは AWS IoT 請求グループまたはコスト配分レポートではサポートされていません。
タグの基本
タグを使用すると、AWS IoT Greengrass リソースを目的、所有者、環境などさまざまな条件で分類することができます。同じタイプのリソースが多い場合に、アタッチしたタグに基づいて特定のリソースをすばやく識別できます。タグはキーとオプションの値で構成されており、どちらもお客様側が定義します。各リソースタイプに対して一連のタグキーを設定することをお勧めします。一貫性のある一連のタグキーを使用することで、リソースの管理が容易になります。例えば、グループに対して一連のタグを定義でき、それによりコアデバイスの施設の場所の追跡に役立ちます。詳細については、「AWSタグ付け戦略
AWS IoT コンソールのタグ付けのサポート
AWS IoT コンソールで Greengrass Group
リソースのタグを作成、表示、管理できます。タグを作成する前に、タグの制限に注意してください。詳細については、「Amazon Web Services 全般のリファレンス」の「タグの命名規則と使用規則」を参照してください。
- グループの作成時にタグを割り当てるには
-
グループを作成するときに、グループにタグを割り当てることができます。タグ付け入力フィールドを表示するには、[Tags] (タグ) セクションで[Add new tag] (新しいタグの追加) を選択します。
- グループ設定ページからタグを表示および管理するには
-
[View settings] (設定の表示) を選択すると、グループ設定ページからタグを表示および管理することができます。グループの [Tags] (タグ) セクションで、 [Manage tags] (タグの管理) を選択して、グループタグを追加、編集、または削除します。
AWS IoT Greengrass API のタグ付けのサポート
タグ付けをサポートしている AWS IoT Greengrass リソースのタグの作成、一覧表示、および管理には、AWS IoT Greengrass API を使用できます。タグを作成する前に、タグの制限に注意してください。詳細については、「Amazon Web Services 全般のリファレンス」の「タグの命名規則と使用規則」を参照してください。
リソースの作成中にタグを追加するには、リソースの
tags
プロパティで定義します。リソースの作成後にタグを追加する、またはタグ値を更新するには、
TagResource
アクションを使用します。リソースからタグを削除するには、
UntagResource
アクションを使用します。リソースに関連付けられたタグを取得するには、
ListTagsForResource
アクションを使用するか、リソースを取得してそのtags
プロパティを調べます。
次の表は、AWS IoT Greengrass API でタグを付けることができるリソースと、それに対応する Create
および Get
アクションを示しています。
リソース | 作成 | Get |
---|---|---|
Group |
CreateGroup |
GetGroup |
ConnectorDefinition |
CreateConnectorDefinition |
GetConnectorDefinition |
CoreDefinition |
CreateCoreDefinition |
GetCoreDefinition |
DeviceDefinition |
CreateDeviceDefinition |
GetDeviceDefinition |
FunctionDefinition |
CreateFunctionDefinition |
GetFunctionDefinition |
LoggerDefinition |
CreateLoggerDefinition |
GetLoggerDefinition |
ResourceDefinition |
CreateResourceDefinition |
GetResourceDefinition |
SubscriptionDefinition |
CreateSubscriptionDefinition |
GetSubscriptionDefinition |
BulkDeployment
|
StartBulkDeployment |
GetBulkDeploymentStatus |
リストで次のアクションを使用して、タグ付けをサポートしているリソースのタグを管理します。
-
TagResource
。リソースにタグを追加します。タグのキーと値のペアの値を変更するためにも使用されます。 -
ListTagsForResource
。リソースのタグをリスト表示します。 -
UntagResource
。リソースからタグを削除します。
リソースでのタグの追加または削除は随時行うことができます。タグキーの値を変更するには、同じキーと新しい値を定義するリソースにタグを追加します。古い値は新しい値を上書きします。値を空の文字列に設定することはできますが、値を null に設定することはできません。
リソースを削除すると、リソースに関連付けられているすべてのタグも削除されます。
注記
AWS IoT モノに割り当てることができる属性と、リソースタグを混同しないようにしてください。Greengrass コアは AWS IoT のモノですが、このトピックで説明されているリソースタグは、コアのモノではなく、CoreDefinition
にアタッチされます。
IAM ポリシーでのタグの使用
IAM ポリシーでは、リソースタグを使用して、ユーザーのアクセスとアクセス許可を制御できます。例えば、ポリシーにより、ユーザーは特定のタグがあるリソースのみを作成できます。ポリシーにより、特定のタグを持つリソースをユーザーが作成または変更できないよう制限することもできます。作成時にリソースにタグを付けることができるため (作成時のタグ付けと呼ばれます)、後でカスタムタグ付けスクリプトを実行する必要はありません。タグを使用して新しい環境が起動されるときは、対応する IAM アクセス権限が自動的に適用されます。
次の条件コンテキストキーと値は、ポリシーの Condition
要素 (Condition
ブロックとも呼ばれます) で使用できます。
greengrass:ResourceTag/
tag-key
:tag-value
-
特定のタグを持つリソースに対してユーザーアクションを許可または拒否します。
aws:RequestTag/
tag-key
:tag-value
-
タグ付け可能なリソースでタグを作成または変更する API リクエストを作成する場合に、特定のタグが使用されている (または、使用されていない) ことを要求します。
aws:TagKeys: [
tag-key
, ...]-
タグ付け可能なリソースを作成または変更する API リクエストを作成する場合に、特定のタグキーのセットが使用されている (または、使用されていない) ことを要求します。
条件コンテキストキーと値は、タグ付け可能なリソースで動作する AWS IoT Greengrass アクションでのみ使用できます。これらのアクションは、必須パラメータとしてリソースを受け取ります。例えば、GetGroupVersion
で条件付きアクセスを設定できます。AssociateServiceRoleToAccount
で条件付きアクセスを設定することはできません。これは、タグ付け可能なリソース (グループ、コア定義、デバイス定義など) が、リクエストで参照されるためです。
詳細については、「IAM ユーザーガイド」の「タグを使用したアクセスの制御」および「IAM JSON ポリシーリファレンス」を参照してください。JSON ポリシーリファレンスには、IAM の JSON ポリシーの要素、変数、および評価ロジックの詳細な構文、説明、および例が含まれています。
IAM ポリシーの例
次のポリシー例では、ベータユーザーをベータリソースでのアクションのみに制限する、タグベースのアクセス権限を適用します。
-
最初のステートメントによって、IAM ユーザーは env=beta タグのみが付いたリソースを操作できます。
-
2 番目のステートメントにより、IAM ユーザーは env=beta タグをリソースから削除できなくなります。これにより、ユーザーは自分のアクセスを削除することがありません。
注記
タグを使用してリソースへのアクセスを制御する場合は、同じリソースに対するタグの追加または削除をユーザーに許可するアクセス権限も管理する必要があります。そうしないと、場合によっては、ユーザーはそのタグを変更することで、制限を回避してリソースにアクセスできる可能性があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "greengrass:*", "Resource": "*", "Condition": { "StringEquals": { "greengrass:ResourceTag/env": "beta" } } }, { "Effect": "Deny", "Action": "greengrass:UntagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "beta" } } } ] }
作成時にユーザーにタグ付けを許可するには、最初に適切なアクセス権限を付与する必要があります。次のポリシー例では、greengrass:TagResource
およびgreengrass:CreateGroup
アクションに "aws:RequestTag/env": "beta"
条件が含まれています。これにより、ユーザーは、env=beta が指定されたグループにタグを付ける場合のみ、グループを作成できます。その結果、実質的にユーザーに新しいグループへのタグ付けを強制します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "greengrass:TagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "beta" } } }, { "Effect": "Allow", "Action": "greengrass:CreateGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "beta" } } } ] }
次のスニペットは、タグ値を 1 つのリストとして指定して、1 つのタグキーに対して複数のタグ値を指定することもできます。
"StringEquals" : { "greengrass:ResourceTag/env" : ["dev", "test"] }
以下も参照してください。
-
「Amazon Web Services 全般のリファレンス」の「AWS リソースのタグ付け」