As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como marcar recursos do Amazon Cognito
Uma *tag* é um rótulo de metadados que você AWS atribui a um AWS recurso. Cada tag consiste em uma *chave* e um *valor*. Em tags atribuídas por você, você mesmo define a chave e o valor. Por exemplo, você pode definir a chave como `stage` e o valor de um atributo como `test`.
As tags ajudam a:
+ Identifique e organize seus AWS recursos. Muitos AWS serviços oferecem suporte à marcação, para que você possa atribuir a mesma tag a recursos de serviços diferentes. Isso ajuda você a indicar quais recursos estão relacionados. Por exemplo, é possível atribuir a mesma tag a um grupo de usuários do Amazon Cognito atribuída a uma tabela do Amazon DynamoDB.
+ Acompanhe seus AWS custos. Você pode ativar essas tags no Gerenciamento de Faturamento e Custos da AWS painel. AWS usa etiquetas de alocação de custos para categorizar seus custos e entregar um relatório mensal de alocação de custos para você. Para mais informações, consulte [Usar etiquetas de alocação de custos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) no *Guia do usuário do AWS Billing *.
+ Controlar o acesso aos recursos de acordo com as tags atribuídas a eles. É possível controlar o acesso especificando chaves e valores de etiquetas nas condições para uma política do AWS Identity and Access Management (IAM). Por exemplo, você poderia permitir que um usuário atualizasse um grupo de usuários somente se esse grupo tiver uma tag `owner` com o valor do nome desse usuário. Para mais informações, consulte [Controlar o acesso usando etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*.
Você pode usar a API do Amazon Cognito AWS Command Line Interface ou a API do Amazon Cognito para adicionar, editar ou excluir tags para grupos de usuários e identidades. Também é possível gerenciar etiquetas para grupos de usuários usando o console do Amazon Cognito.
Para obter dicas sobre como usar tags, consulte a postagem [AWS Tagging Strategies](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) no blog *AWS Answers*.
As seções a seguir fornecem mais informações sobre tags para o Amazon Cognito.
## Recursos compatíveis no Amazon Cognito
Os seguintes recursos do Amazon Cognito são compatíveis com a marcação:
+ Grupos de usuários
+ Bancos de identidades
## Restrições de tags
As restrições a seguir se aplicam às etiquetas nos recursos do Amazon Cognito:
+ Número máximo de tags que você pode atribuir a um recurso: 50
+ Comprimento máximo da chave: 128 caracteres Unicode
+ Comprimento máximo do valor: 256 caracteres Unicode
+ Caracteres válidos para chaves e valores — a-z A-Z, 0-9, espaço e os seguintes caracteres: \_.:/= \+ - @
+ Chaves e valores diferenciam maiúsculas de minúsculas
+ Não use `aws:` como um prefixo para chaves, pois ele é reservado para uso da AWS
## Como gerenciar etiquetas usando o console do Amazon Cognito
Você pode usar o console do Amazon Cognito para gerenciar as tags atribuídas aos seus grupos de usuários.
**Para adicionar etiquetas a um grupo de usuários**
1. Acesse o [console do Amazon Cognito](https://console.aws.amazon.com/cognito/home). Se solicitado, insira suas AWS credenciais.
1. Escolha **User Pools** (Grupos de usuários).
1. Escolha um grupo de usuários existente na lista ou [crie um grupo de usuários](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).
1. Clique no menu **Configurações** e localize a guia **Etiquetas**.
1. Selecione **Add tags** (Adicionar etiqueta) para adicionar sua primeira etiqueta. Se tiver atribuído etiquetas anteriormente a esse grupo de usuários, em **Manage tags** (Gerenciar etiquetas), selecione **Add another** (Adicionar outra).
1. Especifique valores para **Tag Key (Chave de tags)** e **Tag Value (Valor da tag)**.
1. Para cada etiqueta adicional que quiser inserir, escolha **Add another** (Adicionar outra).
1. Quando terminar de adicionar etiquetas, escolha **Save changes** (Salvar alterações).
Para marcar um banco de identidades, navegue até o menu **Grupos de identidades** e selecione ou crie um banco de identidades. Na guia **Propriedades do grupo de identidades**, localize **Etiquetas**. Escolha **Adicionar Tag**.
## AWS CLI exemplos
AWS CLI Ele fornece comandos que ajudam você a gerenciar as tags que você atribui aos grupos de usuários e grupos de identidades do Amazon Cognito.
### Atribuir tags
Use os comandos a seguir para atribuir tags aos seus grupos de usuários e de identidades já existentes.
**Example Comando `tag-resource` para grupos de usuários**
Atribua tags a um grupo de usuários utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/tag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/tag-resource.html) no conjunto de comandos `cognito-idp`:
```
$ aws cognito-idp tag-resource \
> --resource-arn {{user-pool-arn}} \
> --tags {{Stage=Test}}
```
Esse comando inclui os seguintes parâmetros:
+ `resource-arn`: o nome de recurso da Amazon (ARN) do grupo de usuários ao qual você está aplicando tags. Para examinar o ARN, escolha o grupo de usuários no console do Amazon Cognito e visualize o valor de **Pool ARN** (ARN do grupo) na guia **General settings** (Configurações gerais).
+ `tags`: os pares chave-valor das etiquetas, no formato `{{key}}={{value}}`.
Para atribuir várias tags ao mesmo tempo, você deve especificá-las em uma lista separada por vírgulas:
```
$ aws cognito-idp tag-resource \
> --resource-arn {{user-pool-arn}} \
> --tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```
**Example Comando `tag-resource` para grupos de identidade**
Atribua tags a um grupo de identidades utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/tag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/tag-resource.html) no conjunto de comandos `cognito-identity`:
```
$ aws cognito-identity tag-resource \
> --resource-arn {{identity-pool-arn}} \
> --tags {{Stage=Test}}
```
Esse comando inclui os seguintes parâmetros:
+ `resource-arn`: o nome do recurso da Amazon (ARN) do grupo de identidades ao qual você está aplicando tags. Para pesquisar o ARN, escolha o grupo de identidades no console do Amazon Cognito e selecione **Edit identity pool** (Editar grupo de identidades). Depois, em **Identity pool ID (ID do grupo de identidades)**, selecione **Show ARN (Mostrar ARN)**.
+ `tags`: os pares chave-valor das etiquetas, no formato `{{key}}={{value}}`.
Para atribuir várias tags ao mesmo tempo, você deve especificá-las em uma lista separada por vírgulas:
```
$ aws cognito-identity tag-resource \
> --resource-arn {{identity-pool-arn}} \
> --tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```
### Visualizar tags
Use os comandos a seguir para visualizar as tags que você atribuiu aos seus grupos de usuários e de identidades.
**Example `comando list-tags-for-resource` para grupos de usuários**
Visualize as tags atribuídas a um grupo de usuários utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/list-tags-for-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/list-tags-for-resource.html) no conjunto de comandos `cognito-idp`:
```
$ aws cognito-idp list-tags-for-resource --resource-arn {{user-pool-arn}}
```
**Example `comando list-tags-for-resource` para grupos de identidades**
Visualize as tags atribuídas a um grupo de identidades utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/list-tags-for-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/list-tags-for-resource.html) no conjunto de comandos `cognito-identity`:
```
$ aws cognito-identity list-tags-for-resource --resource-arn {{identity-pool-arn}}
```
### Remover tags
Use os comandos a seguir para remover tags de seus grupos de usuários e de identidades.
**Example Comando `untag-resource` para grupos de usuários**
Remova tags de um grupo de usuários utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/untag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/untag-resource.html) no conjunto de comandos `cognito-idp`:
```
$ aws cognito-idp untag-resource \
> --resource-arn {{user-pool-arn}} \
> --tag-keys {{Stage CostCenter Owner}}
```
Para o parâmetro `--tag-keys`, especifique uma ou mais chaves de etiqueta. Não inclua os valores das etiquetas. Separe as chaves com espaços.
**Example Comando `untag-resource` para grupos de identidade**
Remova tags de um grupo de identidades utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/untag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/untag-resource.html) no conjunto de comandos `cognito-identity`:
```
$ aws cognito-identity untag-resource \
> --resource-arn {{identity-pool-arn}} \
> --tag-keys {{Stage CostCenter Owner}}
```
Para o parâmetro `--tag-keys`, especifique uma ou mais chaves de etiqueta. Não inclua os valores das etiquetas.
**Importante**
Após excluir um usuário ou grupo de identidades, as etiquetas relacionadas ao grupo excluído ainda poderão aparecer no console ou em chamadas de API por até 30 dias após a exclusão.
### Aplicar tags durante a criação de recursos
Use os comandos a seguir para atribuir tags no momento em que você cria um grupo de usuários ou um grupo de identidades.
**Example Comando `create-user-pool com tags`**
Quando você cria um grupo de usuários utilizando o comando [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html), pode especificar tags com o parâmetro `--user-pool-tags`:
```
$ aws cognito-idp create-user-pool \
> --pool-name {{user-pool-name}} \
> --user-pool-tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```
Key-value os pares de tags devem estar no formato`{{key}}={{value}}`. Se estiver adicionando várias etiquetas, você deve especificá-las em uma lista separada por vírgulas.
**Example Comando `create-identity-pool com tags`**
Quando você cria um grupo de identidades utilizando o comando [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/create-identity-pool.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/create-identity-pool.html), pode especificar tags com o parâmetro `--identity-pool-tags`:
```
$ aws cognito-identity create-identity-pool \
> --identity-pool-name {{identity-pool-name}} \
> --allow-unauthenticated-identities \
> --identity-pool-tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```
Key-value os pares de tags devem estar no formato`{{key}}={{value}}`. Se estiver adicionando várias etiquetas, você deve especificá-las em uma lista separada por vírgulas.
## Como gerenciar etiquetas usando a API do Amazon Cognito
Você pode usar as ações a seguir na APIos do Amazon Cognito para gerenciar as tags dos seus grupos de usuários e de identidades.
### Ações de API para etiquetas de grupo de usuários
Use as ações de API a seguir para atribuir, visualizar e remover tags de grupos de usuários.
+ [TagResource](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_TagResource.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListTagsForResource.html)
+ [UntagResource](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UntagResource.html)
+ [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)
### Ações de API para etiquetas de grupo de identidades
Use as ações de API a seguir para atribuir, visualizar e remover tags de grupos de identidades.
+ [TagResource](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_TagResource.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_ListTagsForResource.html)
+ [UntagResource](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UntagResource.html)
+ [CreateIdentityPool](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_CreateIdentityPool.html)
## CloudFormation permissões de marcação
Quando você cria ou atualiza recursos de pool de usuários ou grupos de identidades do Amazon Cognito com AWS CloudFormation, CloudFormation pode propagar tags em nível de pilha e tags em nível de sistema para seus recursos. Para permitir a propagação dessa tag, o diretor do IAM que implanta a pilha deve ter permissões de marcação além das permissões de criação de recursos.
Por exemplo, para criar um grupo de usuários com`cognito-idp:CreateUserPool`, o chamador também deve ter as seguintes permissões:
+ `cognito-idp:TagResource`
+ `cognito-idp:UntagResource`
+ `cognito-idp:ListTagsForResource`
Da mesma forma, para criar um grupo de identidades com`cognito-identity:CreateIdentityPool`, o chamador também deve ter as seguintes permissões:
+ `cognito-identity:TagResource`
+ `cognito-identity:UntagResource`
+ `cognito-identity:ListTagsForResource`
Sem essas permissões, a criação ou atualização da pilha pode falhar ao CloudFormation tentar aplicar tags ao recurso. Se você ver um erro de acesso negado relacionado à marcação durante uma operação de pilha, verifique se sua política do IAM inclui essas permissões.