Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Comience a usar el editor de etiquetas.
<a name="gettingstarted"></a>

**importante**  
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. Utilizamos etiquetas para prestarle servicios de facturación y administración. Las etiquetas no se han diseñado para usarse con información privada o confidencial.

Para añadir, editar o eliminar etiquetas de varios recursos a la vez, utilice el editor de etiquetas. Con el editor de etiquetas, busque los recursos que desee etiquetar y, a continuación, administre las etiquetas de los recursos que aparecen en los resultados de la búsqueda. 

**Para iniciar el editor de etiquetas**

1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/console/home).

1. Lleve a cabo uno de los siguientes pasos:
   + Elija **Servicios**. A continuación, en **Administración y gobernanza**, seleccione **Grupo de recursos y editor de etiquetas**. En el panel de navegación de la izquierda, elija **Editor de etiquetas**.
   + Use el enlace directo: [Consola del editor de etiquetas de AWS](https://console.aws.amazon.com/resource-groups/tag-editor/find-resources).

No todos los recursos admiten etiquetas. Para obtener información sobre los recursos compatibles con el editor de etiquetas, consulte la columna de **Tag Editor tagging** en la sección [Tipos de recursos admitidos](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) de la *Guía del usuario Grupos de recursos de AWS *. Si un tipo de recurso que quieres etiquetar no es compatible, AWS hazlo saber seleccionando **Comentarios** en la esquina inferior izquierda de la ventana de la consola.

Para obtener información acerca de los permisos y roles necesarios para etiquetar recursos, consulte [Configuración de permisos](gettingstarted-prereqs-permissions.md).

**Topics**
+ [Requisitos previos para trabajar con el editor de etiquetas](gettingstarted-prereqs.md)
+ [Configuración de permisos](gettingstarted-prereqs-permissions.md)

# Requisitos previos para trabajar con el editor de etiquetas
<a name="gettingstarted-prereqs"></a>

Antes de comenzar a trabajar con sus recursos, asegúrese de que tiene una Cuenta de AWS activa que disponga de recursos y de los derechos necesarios para etiquetar recursos y crear grupos.

**Topics**
+ [Regístrate para obtener una Cuenta de AWS](#sign-up-for-aws)
+ [Creación de un usuario con acceso administrativo](#create-an-admin)
+ [Creación de recursos de](#gettingstarted-prereqs-create)

## Regístrate para obtener una Cuenta de AWS
<a name="sign-up-for-aws"></a>

Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.

**Para suscribirte a una Cuenta de AWS**

1. Abrir [https://portal.aws.amazon.com/billing/registro](https://portal.aws.amazon.com/billing/signup).

1. Siga las instrucciones que se le indiquen.

   Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.

   Cuando te registras en un Cuenta de AWS, *Usuario raíz de la cuenta de AWS*se crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar [Tareas que requieren acceso de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a [https://aws.amazon.com/](https://aws.amazon.com/)y seleccionando **Mi cuenta**.

## Creación de un usuario con acceso administrativo
<a name="create-an-admin"></a>

Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.

**Proteja su Usuario raíz de la cuenta de AWS**

1.  Inicie sesión [Consola de administración de AWS](https://console.aws.amazon.com/)como propietario de la cuenta seleccionando el **usuario root** e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

   Para obtener ayuda para iniciar sesión con el usuario raíz, consulte [Iniciar sesión como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) en la *Guía del usuario de AWS Sign-In *.

1. Active la autenticación multifactor (MFA) para el usuario raíz.

   Para obtener instrucciones, consulte [Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) en la Guía del usuario de *IAM*.

**Creación de un usuario con acceso administrativo**

1. Activar IAM Identity Center.

   Consulte las instrucciones en [Activar AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) en la *Guía del usuario de AWS IAM Identity Center *.

1. En IAM Identity Center, conceda acceso administrativo a un usuario.

   Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte [Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) Guía del *AWS IAM Identity Center usuario*.

**Inicio de sesión como usuario con acceso de administrador**
+ Para iniciar sesión con el usuario de IAM Identity Center, use la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

  Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte [Iniciar sesión en el portal de AWS acceso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) en la *Guía del AWS Sign-In usuario*.

**Concesión de acceso a usuarios adicionales**

1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.

   Para conocer las instrucciones, consulte [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) en la *Guía del usuario de AWS IAM Identity Center *.

1. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.

   Para conocer las instrucciones, consulte [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) en la *Guía del usuario de AWS IAM Identity Center *.

## Creación de recursos de
<a name="gettingstarted-prereqs-create"></a>

Debe tener recursos en su etiqueta Cuenta de AWS para etiquetar. Para obtener más información sobre los tipos de recursos compatibles, consulte la columna **Tag Editor Tagging** en [Tipos de recursos admitidos](https://docs.aws.amazon.com//ARG/latest/userguide/supported-resources.html) de la *Guía del usuario de Grupos de recursos de AWS *.

# Configuración de permisos
<a name="gettingstarted-prereqs-permissions"></a>

Para hacer pleno uso del editor de etiquetas, es posible que necesite más permisos para etiquetar recursos o para las claves de etiquetas y los valores de un recurso. Estos permisos se dividen en las categorías siguientes: 
+ Los permisos para los servicios individuales, para que pueda etiquetar los recursos de dichos servicios e incluirlos en los grupos de recursos.
+ Los permisos necesarios para usar la consola del editor de etiquetas.

Si es administrador, puede proporcionar permisos a sus usuarios mediante la creación de políticas a través del servicio AWS Identity and Access Management (IAM). En primer lugar, debe crear usuarios o grupos de IAM; a continuación, aplicar las políticas con los permisos que necesiten. Para obtener información acerca de cómo crear y asociar políticas de IAM, consulte [Uso de las políticas](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html).

## Permisos para servicios individuales
<a name="rg-perms-individual-services"></a>

**importante**  
En esta sección se describen los permisos necesarios si desea etiquetar recursos **de otras consolas de AWS servicio y APIs**.

Para añadir etiquetas a un recurso, debe tener los permisos necesarios para el servicio al que pertenece el recurso. Por ejemplo, para etiquetar instancias de Amazon EC2, debe tener permisos para las operaciones de etiquetado en la API de ese servicio, como la operación de [Amazon EC2CreateTags](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html).

## Permisos necesarios para usar la consola del Editor de etiquetas
<a name="gettingstarted-prereqs-permissions-te"></a>

Para utilizar la consola del Editor de etiquetas para enumerar y etiquetas recursos, se deben agregar los siguientes permisos a la instrucción de política del usuario en IAM. Puede agregar políticas AWS administradas que se mantienen y actualizan AWS, o puede crear y mantener su propia política personalizada.

### Uso de políticas AWS administradas para los permisos del editor de etiquetas
<a name="prereqs-permissions-managedpolicies"></a>

Tag Editor admite las siguientes políticas AWS gestionadas que puede utilizar para proporcionar un conjunto predefinido de permisos a sus usuarios. Puede adjuntar estas políticas administradas a cualquier rol, usuario o grupo del mismo modo que lo haría con cualquier otra política que cree.

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**  
Esta política concede al usuario o rol de IAM asociado permiso para ejecutar las operaciones de solo lectura tanto para Tag Editor como para Tag Editor Grupos de recursos de AWS . Para leer las etiquetas de un recurso, también debe tener permisos para ese recurso mediante una política independiente. Obtenga más información en la siguiente nota **importante**.

**[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**  
Esta política concede al rol de IAM o usuario adjunto permiso para llamar a cualquier operación de grupos de recursos y a las operaciones de lectura, así como escritura de etiquetas en el editor de etiquetas. Para leer o escribir las etiquetas de un recurso, también debe tener permisos para ese recurso mediante una política independiente. Obtenga más información en la siguiente nota **importante**.

**importante**  
Las dos políticas anteriores conceden permiso para llamar a las operaciones del editor de etiquetas y utilizar la consola del editor de etiquetas. Sin embargo, también debe tener los permisos no solo para invocar la operación, sino también los permisos adecuados para el recurso específico a cuyas etiquetas está intentando acceder. Para conceder ese acceso a las etiquetas, también debe asociar una de estas políticas:  
La política AWS gestionada [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess)concede permisos a las operaciones de solo lectura para los recursos de cada servicio. AWS actualiza automáticamente esta política con las nuevas a Servicios de AWS medida que están disponibles.
Muchos servicios proporcionan políticas AWS gestionadas de solo lectura específicas para cada servicio que puede utilizar para limitar el acceso únicamente a los recursos proporcionados por ese servicio. Por ejemplo, Amazon EC2 proporciona [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess).
Puede crear su propia política que conceda acceso solo a las operaciones específicas de solo lectura para los pocos servicios y recursos a los que desea que accedan sus usuarios. Esta política utiliza una estrategia de lista de permitidos o una estrategia de lista de denegación.  
Una estrategia de lista de permitidos aprovecha el hecho de que el acceso está denegado de forma predeterminada hasta que se ***permita explícitamente*** en una política. Por lo tanto, puede utilizar una política como la del ejemplo siguiente.  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:us-east-1:444455556666:*",
                  "arn:aws:s3:::amzn-s3-demo-bucket2"
                  ]
          }
      ]
  }
  ```
Como alternativa, puede utilizar una estrategia de lista de negación que permita el acceso a todos los recursos excepto a aquellos que bloquee explícitamente. Esto requiere una política independiente que se aplique a los usuarios relevantes y que permita el acceso. A continuación, en el ejemplo siguiente de política se deniega el acceso a los recursos específicos enumerados por el nombre de recurso de Amazon (ARN).  

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Deny",
              "Action": [ "tag:*" ],
              "Resource": [
                  "arn:aws:ec2:us-east-1:123456789012:instance:*",
                  "arn:aws:s3:::amzn-s3-demo-bucket3"
               ]
          }
      ]
  }
  ```

### Añadir los permisos del editor de etiquetas manualmente
<a name="prereqs-permissions-manualadd"></a>
+ `tag:*` (Este permiso permite todas las acciones del editor de etiquetas. Si en su lugar desea restringir las acciones que están disponibles para un usuario, puede sustituir el asterisco por una [acción específica](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html) o por una lista de acciones separadas por comas).
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
+ `resource-groups:SearchResources`
+ `resource-groups:ListResourceTypes`

**nota**  
El permiso `resource-groups:SearchResources` permite al Editor de etiquetas enumerar los recursos al filtrar la búsqueda mediante claves o valores de etiqueta.   
El permiso `resource-explorer:ListResources` permite al Editor de etiquetas enumerar los recursos al buscar recursos sin definir las etiquetas de búsqueda. 

## Concesión de permisos para utilizar el editor de etiquetas
<a name="gettingstarted-prereqs-permissions-howto"></a>

Para añadir una política de uso de un editor Grupos de recursos de AWS de etiquetas a un rol, haga lo siguiente.

1. Abra la página [Roles** en la consola de IAM.**](https://console.aws.amazon.com/iamv2/home#/roles)

1. Busque el rol al que desea conceder permisos del editor de etiquetas. Elija el nombre de la función para abrir la página **Resumen** de la función.

1. En la pestaña **Permissions (Permisos)**, seleccione **Add permissions (Añadir permisos)**.

1. Elija **Adjuntar directamente políticas existentes**.

1. Elija **Crear política**.

1. En la pestaña **JSON**, pegue la instrucción de política siguiente:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "tag:GetResources",
           "tag:TagResources",
           "tag:UntagResources",
           "tag:getTagKeys",
           "tag:getTagValues",
           "resource-explorer:*",
           "resource-groups:SearchResources",
           "resource-groups:ListResourceTypes"
         ],
         "Resource": "*"
       }
     ]
   }
   ```

------
**nota**  
Esta declaración de política de ejemplo concede permisos para realizar únicamente acciones del editor de etiquetas.

1. Elija **Next: Tags** (Siguiente: Etiquetas) y, a continuación, seleccione **Next: Review** (Siguiente: Revisar).

1. Escriba un nombre y la descripción de la nueva política. Por ejemplo, **AWSTaggingAccess**.

1. Elija **Crear política**.

Ahora que la política está guardada en IAM, puede asociarla a otras entidades principales, como roles, grupos o usuarios. Para obtener más información sobre cómo agregar una política a una entidad principal de seguridad, consulte [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.

## Autorización y control de acceso basados en etiquetas
<a name="rg-perms-iam"></a>

Servicios de AWS admiten lo siguiente:
+ **Políticas basadas en acciones**: por ejemplo, puede crear una política que permita a los usuarios realizar `GetTagKeys` u operaciones `GetTagValues`, pero no el resto.
+ **Permisos a nivel de recursos en las políticas**: muchos servicios permiten [ARNs](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)especificar recursos individuales en la política.
+ **Autorización basada en etiquetas**: muchos servicios admiten el uso de etiquetas de recursos en la condición de una política. Por ejemplo, puede crear una política que permita a los usuarios el acceso completo a un grupo que haya etiquetado. Para obtener más información, consulte [¿Para qué sirve el ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del AWS Identity and Access Management usuario*.
+ **Credenciales temporales**: los usuarios pueden asumir una función con una política que permita operaciones del editor de etiquetas.

El editor de etiquetas no utiliza ningún rol vinculado a servicios.

Para obtener más información sobre cómo se integra Tag Editor con AWS Identity and Access Management (IAM), consulte los siguientes temas de la *Guía del AWS Identity and Access Management usuario*:
+ [AWS servicios que funcionan con IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [Actions, resources, and condition keys for Tag Editor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstageditor.html)
+ [Controlar el acceso a los recursos de AWS mediante políticas](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html).