AWS IoT Greengrass Version 1 entrou na fase de vida útil prolongada em 30 de junho de 2023. Para obter mais informações, consulte política de manutenção do AWS IoT Greengrass V1. Após essa data, AWS IoT Greengrass V1 não lançaremos atualizações que forneçam recursos, aprimoramentos, correções de erros ou patches de segurança. Os dispositivos que funcionam AWS IoT Greengrass V1 não serão interrompidos e continuarão operando e se conectando à nuvem. É altamente recomendável que você migre para AWS IoT Greengrass Version 2, o que adiciona novos recursos significativos e suporte para plataformas adicionais.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
As tags podem ajudar você a organizar e gerenciar seus AWS IoT Greengrass grupos. Você pode usar tags para atribuir metadados a grupos, implantações em massa, núcleos, dispositivos e outros recursos que são adicionados aos grupos. As tags também podem ser usadas em políticas do IAM para definir o acesso condicional aos recursos do Greengrass.
nota
Atualmente, as tags de recursos do Greengrass não são suportadas para grupos de AWS IoT cobrança ou relatórios de alocação de custos.
Conceitos Básicos de Tags
As tags permitem que você categorize seus AWS IoT Greengrass recursos, por exemplo, por finalidade, proprietário e ambiente. Quando há muitos recursos do mesmo tipo, você pode identificar rapidamente um recurso com base nas tags que estão anexadas a ele. Uma tag consiste em uma chave e um valor opcional, ambos definidos por você. Recomendamos que você desenvolva um conjunto de chave de tags para cada tipo de recurso. Usar um conjunto consistente de chaves de tags facilita para você gerenciar seus recursos. Por exemplo, é possível definir um conjunto de tags para os grupos que ajudam você a monitorar a localização da fábrica de seus dispositivos principais. Para obter mais informações, consulte Estratégias de marcação da AWS
Suporte para marcação no console AWS IoT
Você pode criar, visualizar e gerenciar tags para seus Group recursos do Greengrass no AWS IoT console. Antes de criar tags, esteja ciente dessas restrições de marcação. Para obter mais informações, consulte Convenções de nomenclatura e uso de tags na Referência geral da Amazon Web Services.
- Para atribuir tags ao criar um grupo
-
Você pode atribuir tags a um grupo ao criar o grupo. Selecione Adicionar nova tag na seção Tags para mostrar os campos de entrada de marcação.
- Como visualizar e gerenciar tags na página de configuração do grupo
-
Você pode visualizar e gerenciar tags na página de configuração do grupo selecionando Visualizar configurações. Na seção Tags do grupo, selecione Gerenciar tags para adicionar, editar ou remover tags de grupo.
Suporte à marcação na API AWS IoT Greengrass
Você pode usar a AWS IoT Greengrass API para criar, listar e gerenciar tags para AWS IoT Greengrass recursos que oferecem suporte à marcação. Antes de criar tags, esteja ciente dessas restrições de marcação. Para obter mais informações, consulte Convenções de nomenclatura e uso de tags na Referência geral da Amazon Web Services.
Para adicionar tags durante a criação do recurso, defina-as na propriedade
tagsdo recurso.Para adicionar tags após a criação de um recurso ou para atualizar valores de tag, use a ação
TagResource.Para remover tags de um recurso, use a ação
UntagResource.Para recuperar as tags que estão associadas a um recurso, use a ação
ListTagsForResourceou obtenha o recurso e inspecione a propriedadetagsdele.
A tabela a seguir lista os recursos que você pode marcar na AWS IoT Greengrass API e suas Get ações Create e ações correspondentes.
| Recurso | Criar | Obtenção |
|---|---|---|
Group |
CreateGroup |
GetGroup |
ConnectorDefinition |
CreateConnectorDefinition |
GetConnectorDefinition |
CoreDefinition |
CreateCoreDefinition |
GetCoreDefinition |
DeviceDefinition |
CreateDeviceDefinition |
GetDeviceDefinition |
FunctionDefinition |
CreateFunctionDefinition |
GetFunctionDefinition |
LoggerDefinition |
CreateLoggerDefinition |
GetLoggerDefinition |
ResourceDefinition |
CreateResourceDefinition |
GetResourceDefinition |
SubscriptionDefinition |
CreateSubscriptionDefinition |
GetSubscriptionDefinition |
BulkDeployment
|
StartBulkDeployment |
GetBulkDeploymentStatus |
Use as ações a seguir para listar e gerenciar as tags de recursos que ofereçam suporte à atribuição de tags:
-
TagResource. Adiciona tags a um recurso. Também é usada para alterar o valor do par de chave/valor da tag. -
ListTagsForResource. Lista as tags de um recurso. -
UntagResource. Remove tags de um recurso.
Você pode adicionar tags a um recurso ou removê-las a qualquer momento. Para alterar o valor de uma chave de tag, adicione uma tag ao recurso que defina a mesma chave e o novo valor. O novo valor substituirá o valor antigo. Você pode definir um valor a uma string vazia, mas não pode definir o valor como nulo.
Quando você excluir um recurso, as tags associadas ao recurso também serão excluídas.
nota
Não confunda tags de recursos com os atributos que você pode atribuir às AWS IoT coisas. Embora os núcleos do Greengrass sejam AWS IoT coisas, as tags de recursos descritas neste tópico estão anexadas a umaCoreDefinition, não à coisa principal.
Utilização de tags com políticas do IAM
Em suas políticas do IAM, você pode usar tags de recurso para controlar o acesso de usuários e permissões. Por exemplo, as políticas podem permitir que os usuários criem somente os recursos que tenham uma tag específica. As políticas também podem restringir os usuários de criar ou modificar recursos que tenham determinadas tags. Você pode marcar recursos durante a criação (chamado marcar ao criar), para que não seja necessário executar scripts de tags personalizadas posteriormente. Quando novos ambientes são iniciados com tags, as permissões correspondentes do IAM são aplicadas automaticamente.
As chaves de contexto de condição e os valores a seguir podem ser usados no elemento Condition (também chamado de bloco Condition) da política.
greengrass:ResourceTag/tag-key:tag-value-
Permite ou nega ações do usuário em recursos com tags específicas.
aws:RequestTag/tag-key:tag-value-
Exige que uma tag específica seja (ou não) usada ao fazer solicitações de API para criar ou modificar tags em um recurso marcável.
aws:TagKeys: [tag-key, ...]-
Exige que um conjunto específico de chaves de tag seja (ou não) usado ao fazer uma solicitação de API para criar ou modificar recurso marcável.
As chaves e valores do contexto de condição só podem ser usados em AWS IoT Greengrass ações que atuam em um recurso marcável. Essas ações consideram o recurso como um parâmetro obrigatório. Por exemplo, você pode definir o acesso condicional no GetGroupVersion. Não é possível definir o acesso condicional em AssociateServiceRoleToAccount porque não foi feita nenhuma referência a um recurso marcável (por exemplo, grupo, definição de núcleo ou definição de dispositivo) na solicitação.
Para obter mais informações, consulte Controlando o acesso usando tags e Referência de política JSON do IAM no Guia do usuário do IAM. A referência de políticas JSON inclui a sintaxe detalhada, descrições e exemplos dos elementos, variáveis e lógica de avaliação de políticas JSON no IAM.
Políticas de exemplo do IAM
A política de exemplo a seguir aplica permissões baseadas em tags que restringem um usuário beta a ações somente em recursos beta.
-
A primeira instrução permite que um usuário do IAM atue em recursos que tenham somente a tag env=beta.
-
A segunda instrução impede que um usuário do IAM remova a tag env=beta de recursos. Isso impede que o usuário remova seu próprio acesso.
nota
Se usar tags para controlar o acesso a recursos, você também deverá gerenciar as permissões que permitem que os usuários adicionem ou removam tags desses mesmos recursos. Caso contrário, em alguns casos, talvez seja possível que os usuários contornem suas restrições e ganhem acesso a um recurso modificando as tags.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "greengrass:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"greengrass:ResourceTag/env": "beta"
}
}
},
{
"Effect": "Deny",
"Action": "greengrass:UntagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "beta"
}
}
}
]
}Para permitir que os usuários adicionem marcações ao criar, você deverá fornecer as permissões apropriadas. O exemplo de política a seguir inclui a condição "aws:RequestTag/env": "beta" nas ações greengrass:TagResource e greengrass:CreateGroup, o que permite que os usuários criem um grupo somente se marcarem o grupo com a tag env=beta. Isso efetivamente força os usuários a marcar novos grupos.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "greengrass:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": "beta"
}
}
},
{
"Effect": "Allow",
"Action": "greengrass:CreateGroup",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/env": "beta"
}
}
}
]
}O trecho a seguir mostra como você pode especificar vários valores de tag para determinada chave de tag, colocando-os em uma lista:
"StringEquals" : {
"greengrass:ResourceTag/env" : ["dev", "test"]
}Consulte também
-
Marcando AWS recursos no Referência geral da Amazon Web Services
