AWS IoT Greengrass Version 1 entrou na fase de vida útil prolongada em 30 de junho de 2023. Para obter mais informações, consulte política de manutenção do AWS IoT Greengrass V1. Após essa data, AWS IoT Greengrass V1 não lançaremos atualizações que forneçam recursos, aprimoramentos, correções de erros ou patches de segurança. Os dispositivos que funcionam AWS IoT Greengrass V1 não serão interrompidos e continuarão operando e se conectando à nuvem. É altamente recomendável que você migre para AWS IoT Greengrass Version 2, o que adiciona novos recursos significativos e suporte para plataformas adicionais.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Marcando seus Recursos AWS IoT Greengrass
As tags podem ajudá-lo a organizar e gerenciar seus grupos do AWS IoT Greengrass. Você pode usar tags para atribuir metadados a grupos, implantações em massa, núcleos, dispositivos e outros recursos que são adicionados aos grupos. As tags também podem ser usadas em políticas do IAM para definir o acesso condicional aos recursos do Greengrass.
nota
No momento, as tags de recurso do Greengrass não são compatíveis com relatórios de alocação de custos ou grupos de faturamento da AWS IoT.
Conceitos Básicos de Tags
As tags permitem categorizar os recursos do AWS IoT Greengrass. Por exemplo, por finalidade, por proprietário e por ambiente. Quando há muitos recursos do mesmo tipo, você pode identificar rapidamente um recurso com base nas tags que estão anexadas a ele. Uma tag consiste em uma chave e um valor opcional, ambos definidos por você. Recomendamos que você desenvolva um conjunto de chave de tags para cada tipo de recurso. Usar um conjunto consistente de chaves de tags facilita para você gerenciar seus recursos da . Por exemplo, é possível definir um conjunto de tags para os grupos que ajudam você a monitorar a localização da fábrica de seus dispositivos principais. Para obter mais informações, consulte Estratégias de marcação da AWS
Suporte à marcação no console do AWS IoT
Você pode criar, visualizar e gerenciar tags para seus recursos de Group
do Greengrass no console do AWS IoT. Antes de criar tags, esteja ciente dessas restrições de marcação. Para obter mais informações, consulte Convenções de nomenclatura e uso de tags na Referência geral da Amazon Web Services.
- Para atribuir tags ao criar um grupo
-
Você pode atribuir tags a um grupo ao criar o grupo. Selecione Adicionar nova tag na seção Tags para mostrar os campos de entrada de marcação.
- Como visualizar e gerenciar tags na página de configuração do grupo
-
Você pode visualizar e gerenciar tags na página de configuração do grupo selecionando Visualizar configurações. Na seção Tags do grupo, selecione Gerenciar tags para adicionar, editar ou remover tags de grupo.
Suporte à atribuição de tags na API do AWS IoT Greengrass
Você pode usar a API do AWS IoT Greengrass para criar, listar e gerenciar as tags de recursos do AWS IoT Greengrass que ofereçam suporte à atribuição de tags. Antes de criar tags, esteja ciente dessas restrições de marcação. Para obter mais informações, consulte Convenções de nomenclatura e uso de tags na Referência geral da Amazon Web Services.
Para adicionar tags durante a criação do recurso, defina-as na propriedade
tags
do recurso.Para adicionar tags após a criação de um recurso ou para atualizar valores de tag, use a ação
TagResource
.Para remover tags de um recurso, use a ação
UntagResource
.Para recuperar as tags que estão associadas a um recurso, use a ação
ListTagsForResource
ou obtenha o recurso e inspecione a propriedadetags
dele.
A tabela a seguir lista os recursos que você pode marcar na API do AWS IoT Greengrass e suas ações Get
e Create
correspondentes.
Recurso | Criar | Obtenção |
---|---|---|
Group |
CreateGroup |
GetGroup |
ConnectorDefinition |
CreateConnectorDefinition |
GetConnectorDefinition |
CoreDefinition |
CreateCoreDefinition |
GetCoreDefinition |
DeviceDefinition |
CreateDeviceDefinition |
GetDeviceDefinition |
FunctionDefinition |
CreateFunctionDefinition |
GetFunctionDefinition |
LoggerDefinition |
CreateLoggerDefinition |
GetLoggerDefinition |
ResourceDefinition |
CreateResourceDefinition |
GetResourceDefinition |
SubscriptionDefinition |
CreateSubscriptionDefinition |
GetSubscriptionDefinition |
BulkDeployment
|
StartBulkDeployment |
GetBulkDeploymentStatus |
Use as ações a seguir para listar e gerenciar as tags de recursos que ofereçam suporte à atribuição de tags:
-
TagResource
. Adiciona tags a um recurso. Também é usada para alterar o valor do par de chave/valor da tag. -
ListTagsForResource
. Lista as tags de um recurso. -
UntagResource
. Remove tags de um recurso.
Você pode adicionar tags a um recurso ou removê-las a qualquer momento. Para alterar o valor de uma chave de tag, adicione uma tag ao recurso que defina a mesma chave e o novo valor. O novo valor substituirá o valor antigo. Você pode definir um valor a uma string vazia, mas não pode definir o valor como nulo.
Quando você excluir um recurso, as tags associadas ao recurso também serão excluídas.
nota
Não confunda tags de recurso com os atributos que você pode atribuir a coisas da AWS IoT. Embora os núcleos do Greengrass sejam coisas da AWS IoT, as tags de recurso que são descritas neste tópico são anexadas a um CoreDefinition
, não à coisa principal.
Utilização de tags com políticas do IAM
Em suas políticas do IAM, você pode usar tags de recurso para controlar o acesso de usuários e permissões. Por exemplo, as políticas podem permitir que os usuários criem somente os recursos que tenham uma tag específica. As políticas também podem restringir os usuários de criar ou modificar recursos que tenham determinadas tags. Você pode marcar recursos durante a criação (chamado marcar ao criar), para que não seja necessário executar scripts de tags personalizadas posteriormente. Quando novos ambientes são iniciados com tags, as permissões correspondentes do IAM são aplicadas automaticamente.
As chaves de contexto de condição e os valores a seguir podem ser usados no elemento Condition
(também chamado de bloco Condition
) da política.
greengrass:ResourceTag/
tag-key
:tag-value
-
Permite ou nega ações do usuário em recursos com tags específicas.
aws:RequestTag/
tag-key
:tag-value
-
Exige que uma tag específica seja (ou não) usada ao fazer solicitações de API para criar ou modificar tags em um recurso marcável.
aws:TagKeys: [
tag-key
, ...]-
Exige que um conjunto específico de chaves de tag seja (ou não) usado ao fazer uma solicitação de API para criar ou modificar recurso marcável.
As chaves de contexto de condição e os valores podem ser usados somente em ações do AWS IoT Greengrass que atuam em um recurso marcável. Essas ações consideram o recurso como um parâmetro obrigatório. Por exemplo, você pode definir o acesso condicional no GetGroupVersion
. Não é possível definir o acesso condicional em AssociateServiceRoleToAccount
porque não foi feita nenhuma referência a um recurso marcável (por exemplo, grupo, definição de núcleo ou definição de dispositivo) na solicitação.
Para obter mais informações, consulte Controlando o acesso usando tags e Referência de política JSON do IAM no Guia do usuário do IAM. A referência de políticas JSON inclui a sintaxe detalhada, descrições e exemplos dos elementos, variáveis e lógica de avaliação de políticas JSON no IAM.
Políticas de exemplo do IAM
A política de exemplo a seguir aplica permissões baseadas em tags que restringem um usuário beta a ações somente em recursos beta.
-
A primeira instrução permite que um usuário do IAM atue em recursos que tenham somente a tag env=beta.
-
A segunda instrução impede que um usuário do IAM remova a tag env=beta de recursos. Isso impede que o usuário remova seu próprio acesso.
nota
Se usar tags para controlar o acesso a recursos, você também deverá gerenciar as permissões que permitem que os usuários adicionem ou removam tags desses mesmos recursos. Caso contrário, em alguns casos, talvez seja possível que os usuários contornem suas restrições e ganhem acesso a um recurso modificando as tags.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "greengrass:*", "Resource": "*", "Condition": { "StringEquals": { "greengrass:ResourceTag/env": "beta" } } }, { "Effect": "Deny", "Action": "greengrass:UntagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/env": "beta" } } } ] }
Para permitir que os usuários adicionem marcações ao criar, você deverá fornecer as permissões apropriadas. O exemplo de política a seguir inclui a condição "aws:RequestTag/env": "beta"
nas ações greengrass:TagResource
e greengrass:CreateGroup
, o que permite que os usuários criem um grupo somente se marcarem o grupo com a tag env=beta. Isso efetivamente força os usuários a marcar novos grupos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "greengrass:TagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "beta" } } }, { "Effect": "Allow", "Action": "greengrass:CreateGroup", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/env": "beta" } } } ] }
O trecho a seguir mostra como você pode especificar vários valores de tag para determinada chave de tag, colocando-os em uma lista:
"StringEquals" : { "greengrass:ResourceTag/env" : ["dev", "test"] }
Consulte também
-
Tagging AWS resources na Referência geral da Amazon Web Services