Etiquetado para la asignación de costos o el control de acceso basado en atributos (ABAC) - Amazon Simple Storage Service
Funcionamiento de las etiquetasFormas comunes de usar etiquetasPlanificación de la estrategia de etiquetadoAdministración de etiquetas para los recursos de Amazon S3

Etiquetado para la asignación de costos o el control de acceso basado en atributos (ABAC)

Una etiqueta de AWS es un par clave-valor que contiene metadatos. Las etiquetas se asocian a los recursos de Amazon S3, como, por ejemplo, los buckets. Puede etiquetar recursos cuando los crea o administrar las etiquetas en los recursos existentes. No se aplican cargos adicionales por el uso de etiquetas más allá de las tarifas estándar de solicitud de la API de S3. Para obtener más información, consulte Precios de Amazon S3.

Funcionamiento de las etiquetas

Amazon S3 admite dos tipos de etiquetas:

  • Etiquetas generadas por AWS: AWS aplica estas etiquetas automáticamente y no puede modificarlas ni eliminarlas. Para obtener más información sobre las etiquetas generadas por AWS, consulte Using AWS-generated tags.

  • Etiquetas definidas por el usuario: aplica estas etiquetas a los recursos de S3 u otros recursos y las administra.

Etiquetas definidas por el usuario

Una etiqueta definida por el usuario es un par clave-valor de etiqueta que se utiliza para etiquetar los recursos. Las etiquetas definidas por el usuario constan de una clave obligatoria y un valor opcional. Estos son los componentes principales de una etiqueta definida por el usuario:

La clave de la etiqueta

La clave de la etiqueta es el nombre obligatorio de la etiqueta. Por ejemplo, project es la clave de etiqueta en el siguiente par clave-valor de etiqueta:

Clave Valor
project Trinity

La clave de la etiqueta es una cadena que distingue entre mayúsculas y minúsculas y que debe contener entre 1 y 128 caracteres Unicode. Las claves solo pueden contener letras Unicode o números, espacios en blanco y los siguientes símbolos:

  • _ (guion bajo)

  • . (punto)

  • : (dos puntos)

  • / (barra inclinada)

  • = (signo igual)

  • + (signo más)

  • @ (signo de arroba)

  • - (guion)

El valor de la etiqueta

El valor de la etiqueta es una cadena opcional. Por ejemplo, Trinity es el valor de etiqueta en este par clave-valor de etiqueta:

Clave Valor
project Trinity

El valor de la etiqueta es una cadena que distingue entre mayúsculas y minúsculas y que puede contener entre 0 y 256 caracteres Unicode. Los valores solo pueden contener letras Unicode o números, espacios en blanco y los siguientes símbolos:

  • _ (guion bajo)

  • . (punto)

  • : (dos puntos)

  • / (barra inclinada)

  • = (signo igual)

  • + (signo más)

  • @ (signo de arroba)

  • - (guion)

Para obtener información detallada acerca de los caracteres permitidos en las etiquetas definidas por el usuario y otras restricciones, consulte Restricciones de las etiquetas definidas por el usuario en la Guía del usuario de Administración de facturación y costos de AWS.

El conjunto de etiquetas

Cada recurso de S3 tiene un conjunto de etiquetas que contiene todos los pares de clave y valor de etiqueta asignados a ese bucket. Un conjunto de etiquetas puede estar vacío o contener hasta 50 etiquetas definidas por el usuario, excepto en el caso del etiquetado de objetos. Los objetos solo pueden tener hasta 10 etiquetas.

Aunque cada clave debe ser única en un conjunto de etiquetas, puede usar el mismo valor varias veces. Por ejemplo, puede tener el mismo valor, Trinity, para las siguientes dos claves de etiqueta:

Clave Valor
project Trinity
cost-center Trinity

Si agrega una etiqueta con la misma clave que una etiqueta existente, el valor nuevo sobrescribe el anterior.

AWS no aplica ningún significado semántico a las etiquetas. Las etiquetas se interpretan estrictamente como cadenas de caracteres.

Para agregar, mostrar, modificar o eliminar etiquetas, puede utilizar la consola de Amazon S3, la interfaz de la línea de comandos (CLI) de AWS (CLI de AWS) o la API de Amazon S3.

Formas comunes de usar etiquetas

Utilice etiquetas en los recursos de S3 para:

  1. Asignación de costos: realice un seguimiento de los costos de almacenamiento por etiqueta de bucket en Administración de facturación y costos de AWS.

  2. Control de acceso basado en atributos (ABAC): escale los permisos de acceso y conceda acceso a los recursos de S3 en función de las etiquetas.

nota

Puede usar las mismas etiquetas para la asignación de costos y para el control de acceso.

Uso de etiquetas para la asignación de costos

Realice un seguimiento de los costos de almacenamiento de Amazon S3 mediante la aplicación de etiquetas a los recursos de S3 y la activación de estas etiquetas para la asignación de costos.

Para empezar a hacer un seguimiento de los costos:

  1. Agregue etiquetas a los recursos de S3 o utilice etiquetas existentes. Por ejemplo, puede etiquetar los buckets con una etiqueta que identifique un proyecto o un grupo de proyectos.

  2. Active las etiquetas de asignación de costos en la consola de Administración de facturación y costos de AWS. Consulte Activación de etiquetas de asignación de costos definidas por el usuario en la Guía del usuario de Administración de facturación y costos de AWS. Puede activar etiquetas definidas por el usuario o generadas por AWS. Para obtener más información, consulte Organización y seguimiento de los costos mediante etiquetas de asignación de costos de AWS.

AWS utiliza las etiquetas activadas para organizar los costos de los recursos en diversas herramientas de facturación y gestión de costos, como:

  • Informe de asignación de costos

    Proporciona una vista general de los costos organizados por etiquetas activadas. Para obtener más información, consulte Uso del informe de asignación de costos mensual en la Guía del usuario de facturación de AWS.

  • Informe de costos y usos (CUR)

    Proporciona el conjunto más detallado de datos de costo y uso de AWS, incluidos los desgloses de costos basados en etiquetas. Para obtener más información, consulte ¿Qué son los informes de costos y usos de AWS? en la Guía del usuario de exportaciones de datos de AWS.

Recursos de Amazon S3 que admiten el seguimiento de costos con etiquetas

Los siguientes recursos de Amazon S3 admiten el seguimiento de los costos de almacenamiento mediante etiquetas.

Uso de etiquetas para el control de acceso basado en atributos (ABAC)

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos, es decir, etiquetas. Puede asociar etiquetas a entidades de AWS Identity and Access Management (IAM) (usuarios o roles) y a recursos de AWS, como Puntos de acceso de Amazon S3 y buckets de directorio. A continuación, puede controlar los permisos de estos recursos mediante condiciones basadas en etiquetas en las políticas de control de acceso para permitir o denegar las operaciones cuando se cumplen estas condiciones.

Con ABAC, utiliza claves de condición basadas en etiquetas en las organizaciones de AWS, IAM y políticas de recursos de S3. Para las empresas, ABAC en Amazon S3 admite la autorización en varias cuentas de AWS.

En las políticas de IAM, puede controlar el acceso a los recursos de S3 en función de las etiquetas del bucket mediante el uso de claves de condición.

Claves de condición admitidas

Puede utilizar las siguientes claves de condición de AWS para todos los recursos de Amazon S3 que admiten ABAC.

  • aws:ResourceTag/key-name

  • aws:RequestTag/key-name

  • aws:TagKeys

Algunos recursos admiten claves de condición de Amazon S3 adicionales. Para obtener una lista completa de las claves de condición que se pueden utilizar para ABAC y políticas de ejemplo, consulte los siguientes temas de etiquetado para el recurso.

Recursos de Amazon S3 que admiten ABAC

Los siguientes recursos de Amazon S3 admiten el control de acceso basado en atributos (ABAC) mediante etiquetas.

Planificación de la estrategia de etiquetado

Recomendamos que idee un conjunto de claves de etiqueta que cumpla sus necesidades para cada tipo de recurso. Mediante el uso de un conjunto coherente de claves de etiquetas, podrá administrar los recursos de más fácilmente. Puede buscar y filtrar los recursos en función de las etiquetas que agregue. Para obtener más información sobre cómo implementar una estrategia eficaz de etiquetado de recursos, consulte el documento técnico de AWS Tagging Best Practices (Prácticas recomendadas de etiquetado).

Prácticas recomendadas para etiquetar recursos de Amazon S3

Al utilizar etiquetas, le sugerimos que siga las siguientes prácticas recomendadas:

  • Documente las convenciones sobre el uso de etiquetas que siguen todos los equipos de su organización. En concreto, asegúrese de que los nombres sean descriptivos y coherentes. Por ejemplo, estandarice el formato environment:prod en lugar de etiquetar algunos recursos con env:production.

    importante

    No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas.

  • Automatice el etiquetado para garantizar la coherencia. Por ejemplo, puede incluir etiquetas en una plantilla de AWS CloudFormation. Al crear recursos con la plantilla, los recursos se etiquetan automáticamente.

  • Use las etiquetas solo cuando sea necesario. Evite la proliferación innecesaria de etiquetas y la complejidad.

  • Revise las etiquetas periódicamente para comprobar su relevancia y precisión. Elimine o modifique las etiquetas obsoletas según sea necesario.

  • Considere la posibilidad de crear etiquetas con el editor de etiquetas de AWS en la consola de administración de AWS. Puede utilizar el editor de etiquetas para agregar etiquetas a varios recursos de AWS admitidos, incluidos los recursos de Amazon S3, al mismo tiempo. Para obtener más información, consulte el Editor de etiquetas en la Guía del usuario de grupos de recursos de AWS.

Administración de etiquetas para los recursos de Amazon S3

Para obtener más información sobre cómo administrar etiquetas para recursos de Amazon S3, consulte lo siguiente: