Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Autorizar a los usuarios y los servicios en la nube a usar Jobs AWS IoT
Para autorizar a los usuarios y servicios en la nube, debe utilizar las políticas de IAM tanto en el plano de control como en el plano de datos. Las políticas deben usarse con el protocolo HTTPS y deben usar la autenticación de AWS Signature Version 4 (puerto 443) para autenticar a los usuarios.
**nota**
AWS IoT Core las políticas no deben usarse en el plano de control. Para autorizar a los usuarios o los servicios en la nube, solo se utilizan las políticas de IAM. Para obtener más información acerca de usar el tipo de política obligatoria, consulte [Tipo de política obligatorio para AWS IoT Jobs](iot-jobs-security.md#jobs-required-policy).
Las políticas de IAM son documentos JSON que contienen declaraciones de políticas. Las declaraciones de políticas utilizan los elementos *Efecto*, *Acción* y *Recurso* para especificar los recursos, las acciones permitidas o denegadas y las condiciones en las que se permiten o deniegan las acciones. Para obtener más información, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) en la *guía del usuario de IAM*.
**aviso**
Te recomendamos que no utilices permisos comodín, como `"Action": ["iot:*"]` en tus políticas o AWS IoT Core políticas de IAM. El uso de permisos comodín no es una práctica recomendada de seguridad. Para obtener más información, consulte [Políticas de AWS IoT demasiado permisivas](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-iot-policy-permissive.html).
## Políticas de IAM en el plano de control
En el plano de control, las políticas de IAM utilizan el prefijo `iot:` con la acción para autorizar la operación de la API de trabajos correspondiente. Por ejemplo, la acción de política `iot:CreateJob` concede al usuario permiso para usar la API [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html).
### Acciones de políticas
La siguiente tabla muestra una lista de las acciones y permisos de las políticas de IAM para usar las acciones de la API. Para obtener información sobre los tipos de recursos, consulte [Tipos de recursos definidos por](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html#awsiot-job). AWS IoT Para obtener más información sobre AWS IoT las acciones, consulte [Acciones definidas por AWS IoT](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiot.html).
**Acciones de la política de IAM en el plano de control**
| Acción de política | Operación de la API | Tipos de recurso | Description (Descripción) |
| --- | --- | --- | --- |
| iot:AssociateTargetsWithJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_AssociateTargetsWithJob.html) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa el permiso para asociar un grupo a un trabajo continuo. El permiso iot:AssociateTargetsWithJob se comprueba cada vez que se presenta una solicitud para asociar destinos. |
| iot:CancelJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJob.html) | job | Representa el permiso para cancelar un trabajo. El permiso iot:CancelJob se comprueba cada vez que se presenta una solicitud para cancelar un trabajo. |
| iot:CancelJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CancelJobExecution.html) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa el permiso para cancelar la ejecución de un trabajo. El permiso iot: CancelJobExecution se comprueba cada vez que se presenta una solicitud para cancelar la ejecución de un trabajo. |
| iot:CreateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa el permiso para crear un trabajo. El permiso iot: CreateJob se comprueba cada vez que se presenta una solicitud para crear un trabajo. |
| iot:CreateJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa el permiso para crear una plantilla de trabajo. El permiso iot: CreateJobTemplate se comprueba cada vez que se presenta una solicitud para crear una plantilla de trabajo. |
| iot:DeleteJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJob.html) | job | Representa el permiso para eliminar un trabajo. El permiso iot: DeleteJob se comprueba cada vez que se presenta una solicitud para eliminar un trabajo. |
| iot:DeleteJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobTemplate.html) | jobtemplate | Representa el permiso para eliminar una plantilla de trabajo. El permiso iot: CreateJobTemplate se comprueba cada vez que se presenta una solicitud para eliminar una plantilla de trabajo. |
| iot:DeleteJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DeleteJobExecution.html) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa el permiso para eliminar una ejecución de trabajo. El permiso iot: DeleteJobExecution se comprueba cada vez que se presenta una solicitud para eliminar la ejecución de un trabajo. |
| iot:DescribeJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJob.html) | job | Representa el permiso para describir un trabajo. El permiso iot: DescribeJob se comprueba cada vez que se presenta una solicitud para describir un trabajo. |
| iot:DescribeJobExecution | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot/latest/developerguide/iam-policy-users-jobs.html) | Representa el permiso para describir una ejecución de trabajo. El permiso iot: DescribeJobExecution se comprueba cada vez que se presenta una solicitud para describir la ejecución de un trabajo. |
| iot:DescribeJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobTemplate.html) | jobtemplate | Representa el permiso para describir una plantilla de trabajo. El permiso iot: DescribeJobTemplate se comprueba cada vez que se presenta una solicitud para describir una plantilla de trabajo. |
| iot:DescribeManagedJobTemplate | [https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeManagedJobTemplate.html) | jobtemplate | Representa el permiso para describir una plantilla de trabajo administrada. El permiso iot: DescribeManagedJobTemplate se comprueba cada vez que se presenta una solicitud para describir una plantilla de trabajo administrada. |
| iot:GetJobDocument | [https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html](https://docs.aws.amazon.com/iot/latest/apireference/API_GetJobDocument.html) | job | Representa el permiso para obtener el documento de trabajo de un trabajo. El permiso iot:GetJobDocument se comprueba cada vez que se presenta una solicitud para obtener un documento de trabajo. |
| iot:ListJobExecutionsForJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForJob.html) | job | Representa el permiso para enumerar las ejecuciones de trabajo de un trabajo. El permiso iot:ListJobExecutionsForJob se comprueba cada vez que se presenta una solicitud para enumerar las ejecuciones de trabajo de un trabajo. |
| iot:ListJobExecutionsForThing | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobExecutionsForThing.html) | thing | Representa el permiso para enumerar las ejecuciones de trabajo de un trabajo. El permiso iot:ListJobExecutionsForThing se comprueba cada vez que se presenta una solicitud para enumerar las ejecuciones de trabajo de un objeto. |
| iot:ListJobs | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobs.html) | none | Representa el permiso para enumerar los trabajos. El permiso iot:ListJobs se comprueba cada vez que se presenta una solicitud para enumerar los trabajos. |
| iot:ListJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListJobTemplates.html) | none | Representa el permiso para enumerar las plantillas de trabajo. El permiso iot:ListJobTemplates se comprueba cada vez que se presenta una solicitud para enumerar las plantillas de trabajo. |
| iot:ListManagedJobTemplates | [https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html](https://docs.aws.amazon.com/iot/latest/apireference/API_ListManagedJobTemplates.html) | none | Representa el permiso para enumerar las plantillas de trabajo administradas. El permiso iot:ListManagedJobTemplates se comprueba cada vez que se presenta una solicitud para enumerar las plantillas de trabajo administradas. |
| iot:UpdateJob | [https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UpdateJob.html) | job | Representa el permiso para actualizar un trabajo. El permiso iot:UpdateJob se comprueba cada vez que se presenta una solicitud para actualizar un trabajo. |
| iot:TagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_TagResource.html) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot/latest/developerguide/iam-policy-users-jobs.html) | Concede permiso para etiquetar un recurso específico. |
| iot:UntagResource | [https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html](https://docs.aws.amazon.com/iot/latest/apireference/API_UntagResource.html) | [See the AWS documentation website for more details](http://docs.aws.amazon.com/es_es/iot/latest/developerguide/iam-policy-users-jobs.html) | Concede permiso para quitar las etiquetas del recurso específico. |
### Ejemplo de política de IAM básica
En el siguiente ejemplo se muestra una política de IAM que concede al usuario permiso para realizar las siguientes acciones para su objeto y grupo de objetos de IoT.
En el ejemplo, sustituya:
+ {{region}}con tus Región de AWS, como`us-east-1`.
+ {{account-id}}con tu Cuenta de AWS número, por ejemplo`57EXAMPLE833`.
+ {{thing-group-name}}con el nombre del grupo de cosas de IoT al que apunta los trabajos, por ejemplo`FirmwareUpdateGroup`.
+ {{thing-name}}con el nombre de tu actividad de IoT a la que te diriges a los trabajos, por ejemplo`MyIoTThing`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:{{us-east-1}}:{{123456789012}}:thinggroup/{{thing-group-name}}"
},
{
"Action": [
"iot:DescribeJob",
"iot:CancelJob",
"iot:DeleteJob"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:{{us-east-1}}:{{123456789012}}:job/*"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:{{us-east-1}}:{{123456789012}}:thing/thing-123",
"arn:aws:iot:{{us-east-1}}:{{123456789012}}:job/*"
]
}
]
}
```
### Ejemplo de política de IAM para la autorización basada en IP
Puede impedir que las *entidades principales* realicen llamadas a la API a su punto de conexión del plano de control desde direcciones IP específicas. Para especificar las direcciones IP que se pueden permitir, en el elemento Condición de la política de IAM, utilice la clave de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip).
El uso de esta clave de condición también puede impedir que otras Servicio de AWS personas realicen estas llamadas a la API en tu nombre, por ejemplo AWS CloudFormation. Para permitir el acceso a estos servicios, utilice la clave de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice)global junto con la SourceIp clave aws:. Esto asegura que la restricción de acceso a la dirección IP de origen se aplica únicamente a las solicitudes realizadas directamente por una entidad principal. Para obtener más información, consulte [AWS: Denega el acceso a en AWS función de la IP de origen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html).
El siguiente ejemplo muestra cómo permitir que solo una dirección IP específica pueda realizar llamadas a la API al punto de conexión del plano de control. La clave `aws:ViaAWSService` está configurada en`true`, lo que permite a otros servicios realizar llamadas a la API en su nombre.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iot:CreateJobTemplate",
"iot:CreateJob"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "{{123.45.167.89}}"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
## Políticas de IAM en el plano de datos
Las políticas de IAM en el plano de datos utilizan el prefijo `iotjobsdata:` para autorizar las operaciones de la API de trabajos que los usuarios pueden realizar. En el plano de los datos, se puede conceder a un usuario permiso para usar la API [https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html) mediante la acción de política `iotjobsdata:DescribeJobExecution`.
**aviso**
No se recomienda utilizar políticas de IAM en el plano de datos cuando se dirija a Jobs de AWS IoT para sus dispositivos. Recomendamos utilizar las políticas de IAM en el plano de control para que los usuarios creen y gestionen los trabajos. En el plano de datos, para autorizar a los dispositivos a recuperar las ejecuciones de trabajos y actualizar el estado de ejecución, utilice [AWS IoT Core políticas para el protocolo HTTPS](iot-data-plane-jobs.md#iot-jobs-data-http).
### Ejemplo de política de IAM básica
Por lo general, las operaciones de la API que se deben autorizar se realizan escribiendo los comandos CLI. A continuación se muestra un ejemplo de un usuario realizando una operación `DescribeJobExecution`.
En el ejemplo, sustituya:
+ {{region}}con su Región de AWS, por ejemplo`us-east-1`.
+ {{account-id}}con tu Cuenta de AWS número, por ejemplo`57EXAMPLE833`.
+ {{thing-name}}con el nombre de tu actividad de IoT a la que te diriges a los trabajos, por ejemplo`myRegisteredThing`.
+ `{{job-id}}` es el identificador único del trabajo al que se dirige la API.
```
aws iot-jobs-data describe-job-execution \
--endpoint-url "https://{{account-id}}.jobs.iot.{{region}}.amazonaws.com" \
--job-id {{jobID}} --thing-name {{thing-name}}
```
A continuación se muestra una política de IAM de ejemplo que autoriza esta acción:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:{{us-east-1}}:{{123456789012}}:thing/thing-123"
}
}
```
### Ejemplos de política de IAM para la autorización basada en IP
Puede impedir que las *entidades principales* realicen llamadas a la API a su punto de conexión del plano de datos desde direcciones IP específicas. Para especificar las direcciones IP que se pueden permitir, en el elemento Condición de la política de IAM, utilice la clave de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip).
El uso de esta clave de condición también puede impedir que otras Servicio de AWS personas realicen estas llamadas a la API en tu nombre, por ejemplo AWS CloudFormation. Para permitir el acceso a estos servicios, utilice la clave de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-viaawsservice) con la clave de condición `aws:SourceIp`. Esto asegura que la restricción de acceso a la dirección IP se aplica únicamente a las solicitudes realizadas directamente por la entidad principal. Para obtener más información, consulte [AWS: Denega el acceso en AWS función de la IP de origen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html).
El siguiente ejemplo muestra cómo permitir que solo una dirección IP específica pueda realizar llamadas a la API al punto de conexión del plano de datos.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iotjobsdata:*"
],
"Resource": [
"*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "{{123.45.167.89}}"
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}]
}
```
El siguiente ejemplo muestra cómo restringir direcciones IP o rangos de direcciones específicos para que no puedan realizar llamadas a la API al punto de conexión del plano de datos.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"iotjobsdata:*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"{{123.45.167.89}}",
"{{192.0.2.0/24}}",
"{{203.0.113.0/24}}"
]
}
},
"Resource": [
"*"
]
}
]
}
```
### Ejemplo de política de IAM tanto para el plano de control como para el plano de datos
Si realiza una operación de API tanto en el plano de control como en el plano de datos, la acción de política del plano de control debe usar el prefijo `iot:` y la acción de política del plano de datos debe usar el prefijo `iotjobsdata:`.
Por ejemplo, la API `DescribeJobExecution` se puede usar tanto en el plano de control como en el plano de datos. En el plano de control, la [DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_DescribeJobExecution.html)API se utiliza para describir la ejecución de un trabajo. En el plano de los datos, la [ DescribeJobExecution](https://docs.aws.amazon.com/iot/latest/apireference/API_iot-jobs-data_DescribeJobExecution.html)API se utiliza para obtener detalles de la ejecución de un trabajo.
La siguiente política de IAM autoriza a un usuario a utilizar la API `DescribeJobExecution` tanto en el plano de control como en el plano de datos.
En el ejemplo, sustituya:
+ {{region}}con tu Región de AWS, como`us-east-1`.
+ {{account-id}}con tu Cuenta de AWS número, por ejemplo`57EXAMPLE833`.
+ {{thing-name}}con el nombre de tu actividad de IoT a la que te diriges a los trabajos, por ejemplo`MyIoTThing`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"iotjobsdata:DescribeJobExecution"
],
"Effect": "Allow",
"Resource": "arn:aws:iot:{{us-east-1}}:{{123456789012}}:thing/thing-123"
},
{
"Action": [
"iot:DescribeJobExecution",
"iot:CancelJobExecution",
"iot:DeleteJobExecution"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:{{us-east-1}}:{{123456789012}}:thing/thing-123",
"arn:aws:iot:{{us-east-1}}:{{123456789012}}:job/*"
]
}
]
}
```
## Autorización del etiquetado de los recursos de IoT
Para controlar mejor los trabajos y las plantillas de trabajo que puede crear, modificar o usar, puede adjuntarles etiquetas. Estas también le ayudan a determinar la propiedad y a asignar y distribuir los costos, ya que las ubican en grupos de facturación y les asocian etiquetas.
Si un usuario quiere etiquetar sus trabajos o las plantillas de trabajo que ha creado con la Consola de administración de AWS o la AWS CLI, tu política de IAM debe conceder al usuario permisos para etiquetarlos. Para conceder permisos, la política de IAM debe utilizar la acción `iot:TagResource`.
**nota**
Si la política de IAM no incluye la acción `iot:TagResource`, cualquier [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJob.html) o [https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateJobTemplate.html) con una etiqueta devolverá un error `AccessDeniedException`.
Si quieres etiquetar tus trabajos o las plantillas de trabajo que has creado con la Consola de administración de AWS o la AWS CLI, tu política de IAM debe conceder permiso para etiquetarlos. Para conceder permisos, la política de IAM debe utilizar la acción `iot:TagResource`.
Para obtener información general sobre el etiquetado de recursos, consulte [Etiquetar sus recursos AWS IoT](tagging-iot.md).
### Ejemplo de política de IAM
Consulte los siguientes ejemplos de políticas de IAM que conceden permisos de etiquetado:
*Ejemplo 1*
Un usuario que ejecuta el siguiente comando para crear un trabajo y etiquetarlo en un entorno específico.
En este ejemplo, sustituya:
+ {{region}}con las tuyas Región de AWS, como`us-east-1`.
+ {{account-id}}con tu Cuenta de AWS número, por ejemplo`57EXAMPLE833`.
+ {{thing-name}}con el nombre de tu actividad de IoT a la que te diriges a los trabajos, por ejemplo`MyIoTThing`.
```
aws iot create-job
--job-id {{test_job}}
--targets "arn:aws:iot:{{region}}:{{account-id}}:thing/{{thingOne}}"
--document-source "https://s3.amazonaws.com/amzn-s3-demo-bucket/job-document.json"
--description "test job description"
--tags Key=environment,Value=beta
```
Para este ejemplo, debe utilizar la siguiente política de IAM:
****
```
{
"Version":"2012-10-17",
"Statement": {
"Action": [
"iot:CreateJob",
"iot:CreateJobTemplate",
"iot:TagResource"
],
"Effect": "Allow",
"Resource": [
"arn:aws:iot:{{us-east-1}}:{{123456789012}}:job/*",
"arn:aws:iot:{{us-east-1}}:{{123456789012}}:jobtemplate/*"
]
}
}
```