给您的 Amazon IoT Events 资源加标签 - Amazon IoT Events
有关标签的基本知识在 IAM 策略中使用标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

给您的 Amazon IoT Events 资源加标签

为了帮助您管理和组织探测器模型和输入,您可以选择将自己的元数据以标签的形式分配给其中每个资源。本部分介绍标签并说明如何创建标签。

有关标签的基本知识

标签可让您按各种标准(例如用途、所有者或环境)对 Amazon IoT Events 资源进行分类。这在您有许多相同类型的资源时会非常有用。您可以根据分配到特定资源的标签来快速识别该资源。

每个标签都包含您定义的一个键和一个可选值。例如,您可以为输入定义一组标签,以跟踪发送这些输入的设备。我们建议您为每类资源创建一组可满足您的需求的标签键。使用一组连续的标签键,管理资源时会更加轻松。

您可以根据添加或应用的标签搜索和筛选资源,使用标签对成本进行分类和跟踪,还可以使用标签控制对资源的访问权限,如中所述在 IAM 策略中使用标签Amazon IoT开发人员指南.

为便于使用,使用中的标签编辑器Amazon Web Services Management Console提供了一种用于创建和管理标签的集中而统一的方法。有关更多信息,请参阅 。使用标签编辑器在上使用Amazon Web Services Management Console.

您也可以使用 Amazon CLI 和 Amazon IoT Events API 处理标签。在创建标签时,您可以使用以下方法将标签与探测器模型和输入相关联"Tags"字段(采用格式)

您可以使用以下命令为支持标记的现有资源添加、修改或删除标签:

您可以修改标签的密钥和值,还可以随时删除资源的标签。您可以将标签的值设为空的字符串,但是不能将其设为空值。如果您添加的标签的值与该实例上现有标签的值相同,新的值就会覆盖旧值。如果删除资源,则所有与资源相关的标签都将被删除。

界面中会提供更多信息Amazon标签策略.

标签限制

下面是适用于标签的基本限制:

  • 每个资源的标签数上限 – 50

  • 最大键长度 — 127 个 Unicode 字符(采用 UTF-8 格式)

  • 最大值长度 — 255 个 Unicode 字符(采用 UTF-8 格式)

  • 标签键和值区分大小写。

  • 请勿使用"aws:"在标签名称或值中使用前缀,因为它专为Amazon使用。您无法编辑或删除带此前缀的标签名称或值。具有此前缀的标签不计入每个资源的标签数限制。

  • 如果您的标记模式针对多个服务和资源使用,请记得其它服务可能对允许使用的字符有限制。通常允许使用的字符包括:可用 UTF-8 格式表示的字母、空格和数字以及以下特殊字符:+ - = . _ : / @。

在 IAM 策略中使用标签

可以在用于 Amazon IoT Events API 操作的 IAM 策略中应用基于标签的资源级权限。这可让您更好地控制用户可创建、修改或使用哪些资源。

在 IAM 策略中将 Condition 元素(也称作 Condition 块)与以下条件上下文键和值结合使用来基于资源标签控制用户访问(权限):

  • 使用 aws:ResourceTag/<tag-key>: <tag-value> 可允许或拒绝带特定标签的资源上的用户操作。

  • 使用 aws:RequestTag/<tag-key>: <tag-value> 可要求在发出创建或修改允许标签的资源的 API 请求时使用(或不使用)特定标签。

  • 使用 aws:TagKeys: [<tag-key>, ...] 可要求在发出创建或修改允许标签的资源的 API 请求时使用(或不使用)一组特定标签键。

注意

IAM 策略中的条件上下文键和值仅适用于能够标记的资源的标识符是必需参数的那些 Amazon IoT Events 操作。

使用标签控制访问Amazon Identity and Access Management用户指南包含有关使用标签的更多信息。这些区域有:IAM JSON 策略参考该指南的一部分包含 IAM 中的 JSON 策略的元素、变量和评估逻辑的详细语法、描述和示例。

以下示例策略应用两个基于标签的限制。受此策略限制的 IAM 用户:

  • 无法为资源提供标签“env=prod”(在示例中,请参阅行 "aws:RequestTag/env" : "prod"

  • 无法修改或访问具有现有标签“env=prod”的资源(在示例中,请参阅行 "aws:ResourceTag/env" : "prod")。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "iotevents:CreateDetectorModel",
                "iotevents:CreateAlarmModel",
                "iotevents:CreateInput",
                "iotevents:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/env": "prod"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": [
                "iotevents:DescribeDetectorModel",
                "iotevents:DescribeAlarmModel",
                "iotevents:UpdateDetectorModel",
                "iotevents:UpdateAlarmModel",
                "iotevents:DeleteDetectorModel",
                "iotevents:DeleteAlarmModel",
                "iotevents:ListDetectorModelVersions",
                "iotevents:ListAlarmModelVersions",
                "iotevents:UpdateInput",
                "iotevents:DescribeInput",
                "iotevents:DeleteInput",
                "iotevents:ListTagsForResource",
                "iotevents:TagResource",
                "iotevents:UntagResource",
                "iotevents:UpdateInputRouting"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/env": "prod"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iotevents:*"
            ],
            "Resource": "*"
        }
    ]
}

您还可以通过将给定标签键包含在列表中来为它们指定多个标签值,如下所示。


            "StringEquals" : {
              "aws:ResourceTag/env" : ["dev", "test"]
            }
注意

如果您基于标签允许或拒绝用户访问资源,则必须考虑显式拒绝用户对相同资源添加或删除这些标签的能力。否则,用户可能通过修改资源标签来绕过您的限制并获得资源访问权限。