标记 AWS IoT Analytics 资源 - AWS IoT Analytics
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

标记 AWS IoT Analytics 资源

为了方便管理您的通道、数据集、数据存储和管道,您可以选择通过标签的形式为每个资源分配您自己的元数据。本章介绍标记,并演示如何创建标记。

有关标签的基本知识

标签可让您按各种标准(例如用途、所有者或环境)对 AWS IoT Analytics 资源进行分类。这在您拥有许多同类型资源时很有用 - 您可以根据分配给资源的标签快速识别特定资源。每个标签都包含您定义的一个键和可选值。例如,您可以为通道定义一组标签,以跟踪负责每个通道的消息源的设备类型。我们建议您针对每类资源设计一组标签,以满足您的需要。使用一组连续的标签键,管理资源时会更加轻松。您可以根据添加的标签搜索和筛选资源。

您还可以使用标签对成本进行分类和跟踪。当您将标记应用于信道、数据集、数据存储或管道时, AWS 生成成本分配报告,作为逗号分隔值(CSV)文件,您的使用和成本按您的标签汇总。您可以应用代表业务类别(例如成本中心、系统名称或所有者)的标签,以便整理多种服务的成本。有关使用标记进行成本分配的更多信息,请参阅 使用成本分配标签AWS Billing and Cost Management 用户指南.

为便于使用,请使用 标记编辑器 在 AWS Billing and Cost Management 控制台,提供创建和管理标签的集中统一方法。有关更多信息,请参阅 使用标记编辑器 英寸 开始使用 AWS 管理控制台.

您还可以使用 AWS CLI 和 AWS IoT Analytics API。可在创建标签时将其与通道、数据集、数据存储和管道关联;可在以下命令中使用 Tags (标签) 字段:

您可以为支持标记的现有资源添加、修改或删除标记。使用以下命令:

您可以修改标签的密钥和值,还可以随时删除资源的标签。您可以将标签的值设为空的字符串,但是不能将其设为空值。如果添加的标记与该资源上的现有标记具有相同的键,则新值将覆盖旧值。如果删除资源,则所有与资源相关的标签都将被删除。

结合使用标签和 IAM 策略

您可以使用 Condition 元素(也称为 Condition 块)在 IAM 根据资源的标记控制用户访问(权限)的策略:

  • 使用 iotanalytics:ResourceTag/<tag-key>: <tag-value> yo允许或拒绝对具有特定标记的资源执行用户操作。

  • 使用 aws:RequestTag/<tag-key>: <tag-value> 可要求在发出创建或修改允许标签的资源的 API 请求时使用(或不使用)特定标签。

  • 使用 aws:TagKeys: [<tag-key>, ...] 可要求在发出创建或修改允许标签的资源的 API 请求时使用(或不使用)一组特定标签键。

    注意

    条件上下文键/值 IAM 政策仅适用于 AWS IoT Analytics 其中能够被标记的资源的标识符是必需参数的操作。例如,不会根据条件上下文键/值允许/拒绝使用 DescribeLoggingOptions,因为在该请求中没有引用任何可标记的资源(通道、数据集、数据存储或管道)。

有关更多信息,请参阅 使用标签控制访问IAM 用户指南. 的 IAM JSON策略参考 该指南的部分包含JSON策略的元素、变量和评估逻辑的详细语法、描述和示例 IAM.

以下示例策略应用了基于两方面的限制。一种 IAM 受本政策限制的用户:

  1. 无法为资源提供标签“env=prod”(参见行 "aws:RequestTag/env" : "prod" )。

  2. 无法修改或访问具有“env=prod”标签的现有资源(请参阅行 "iotanalytics:ResourceTag/env" : "prod" )。

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Deny", "Action" : "iotanalytics:*", "Resource" : "*", "Condition" : { "StringEquals" : { "aws:RequestTag/env" : "prod" } } }, { "Effect" : "Deny", "Action" : "iotanalytics:*", "Resource" : "*", "Condition" : { "StringEquals" : { "iotanalytics:ResourceTag/env" : "prod" } } }, { "Effect": "Allow", "Action": [ "iotanalytics:*" ], "Resource": "*" } ] }

您还可以通过将其包含在列表中来为给定的标记键指定多个标记值,如下面的示例。

"StringEquals" : { "iotanalytics:ResourceTag/env" : ["dev", "test"] }
注意

如果您根据标签允许/拒绝用户访问资源,请务必考虑显式拒绝用户在相同资源中添加或删除这些标签的功能。否则,用户可能会修改资源标签以绕过您的限制,并获得该资源的访问权限。

标签限制

下面是适用于标签的基本限制:

  • 每个资源的最大标签数 — 50

  • 最大键长度:127 个 Unicode 字符(采用 UTF-8 格式)

  • 最大值长度:255 个 Unicode 字符(采用 UTF-8 格式)

  • 标签键和值区分大小写。

  • 请勿使用 aws: prefix 标记名称或值中,因为它是为 AWS 使用。您无法编辑或删除带此前缀的标签名称或值。具有此前缀的标记不根据来源限制对您的标记计数。

  • 如果您的标记方案针对多个服务和资源使用,请记得其他服务可能对允许使用的字符有限制。通常允许使用的字符包括:可用 UTF-8 格式表示的字母、空格和数字以及以下特殊字符 + - = . _ : / @。