

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Etiquetado de recursos de Amazon Cognito
<a name="tagging"></a>

Una *etiqueta* es una etiqueta de metadatos que usted o AWS asigna a un AWS recurso. Cada etiqueta consta de una *clave* y un *valor*. En el caso de etiquetas que usted asigna, debe definir la clave y el valor. Por ejemplo, puede definir la clave como `stage` y el valor de un recurso como `test`.

Las etiquetas lo ayudan a hacer lo siguiente:
+ Identifique y organice sus AWS recursos. Muchos AWS servicios admiten el etiquetado, por lo que puede asignar la misma etiqueta a los recursos de diferentes servicios. Esto le ayuda a indicar qué recursos están relacionados. Por ejemplo, podría asignar la misma etiqueta a un grupo de usuarios de Amazon Cognito que asigne a una tabla de Amazon DynamoDB.
+ Realice un seguimiento de sus AWS costes. Puede activar estas etiquetas en el Administración de facturación y costos de AWS panel de control. AWS usa etiquetas de asignación de costos para categorizar sus costos y entregarle un informe mensual de asignación de costos. Para obtener más información, consulte [Uso de etiquetas de asignación de costes](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing *.
+ Controle el acceso a sus recursos basándose en las etiquetas que se les asignan. El acceso se controla especificando las claves y los valores de etiqueta en las condiciones de una política (IAM) de AWS Identity and Access Management . Por ejemplo, podría permitir que un usuario actualice un grupo de usuarios solo si este grupo tiene una etiqueta `owner` con un valor del nombre de ese usuario. Para obtener más información, consulte [Control del acceso mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la *Guía del usuario de IAM*.

Puede usar la AWS Command Line Interface API de Amazon Cognito para añadir, editar o eliminar etiquetas para grupos de usuarios e identidades. También puede administrar las etiquetas para los grupos de usuarios utilizando la consola de Amazon Cognito.

Para obtener sugerencias acerca del uso de etiquetas, consulte la publicación sobre [estrategias de etiquetado de AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/) en el blog de *Respuestas de AWS *. 

En las siguientes secciones, se ofrece más información sobre las etiquetas de Amazon Cognito.

## Recursos admitidos en Amazon Cognito
<a name="tagging-supported-resources"></a>

Los siguientes recursos de Amazon Cognito admiten el etiquetado: 
+ Grupos de usuarios
+ Grupos de identidades

## Restricciones de las etiquetas
<a name="tagging-restrictions"></a>

Las siguientes restricciones se aplican a las etiquetas en los recursos de Amazon Cognito:
+ Cantidad máxima de etiquetas que puede asignar a un recurso: 50 
+ Longitud máxima de la clave: 128 caracteres Unicode. 
+ Longitud máxima del valor: 256 caracteres Unicode. 
+ Caracteres válidos para claves y valores: a-z A-Z, 0-9, espacios y los siguientes caracteres: \_.:/= \+ - @
+ Las claves y los valores distinguen entre mayúsculas y minúsculas
+ No utilice `aws:` como prefijo para claves, ya que está reservado para AWS .

## Administración de etiquetas mediante la consola de Amazon Cognito
<a name="tagging-console"></a>

Puede utilizar la consola de Amazon Cognito para administrar las etiquetas que se asignan a los grupos de usuarios.

**Para añadir etiquetas a un grupo de usuarios**

1. Vaya a la [consola de Amazon Cognito](https://console.aws.amazon.com/cognito/home). Si se le solicita, introduzca sus AWS credenciales.

1. Elija **User Pools** (Grupos de usuarios).

1. Elija un grupo de usuarios existente en la lista o [cree un grupo de usuarios](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Seleccione el menú **Configuración** y busque la pestaña **Etiquetas**.

1. Elija**Add tag (Agregar etiqueta)** para agregar su primera etiqueta. Si ya ha asignado etiquetas a este grupo de usuarios, en **Manage tags (Administrar etiquetas)**, elija **Add another (Agregar otra)**.

1. Especifique los valores de **Tag Key** (Clave de etiqueta) y **Tag Value** (Valor de etiqueta).

1. Para cada etiqueta adicional que desee añadir, elija **Add another (Agregar otra)**.

1. Cuando haya terminado de añadir etiquetas, elija **Guardar cambios**.

Para etiquetar un grupo de identidades, navegue hasta el menú **Grupos de identidades** y seleccione o cree un grupo de identidades. En la pestaña **Propiedades del grupo de identidades**, busque **Etiquetas**. Seleccione **Agregar etiqueta**.

## AWS CLI ejemplos
<a name="tagging-cli-examples"></a>

 AWS CLI Proporciona comandos que le ayudan a administrar las etiquetas que asigna a los grupos de usuarios y grupos de identidades de Amazon Cognito. 

### Asignación de etiquetas
<a name="tagging-cli-examples-assigning"></a>

Utilice los siguientes comandos para asignar etiquetas a sus grupos de usuarios y de identidades existentes.

**Example Comando `tag-resource para grupos de` usuarios**  
Asigne etiquetas a un grupo de usuarios utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/tag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/tag-resource.html) en el conjunto de comandos de `cognito-idp`:  

```
$ aws cognito-idp tag-resource \
> --resource-arn {{user-pool-arn}} \
> --tags {{Stage=Test}}
```
Este comando incluye los siguientes parámetros:  
+ `resource-arn`: el nombre de recurso de Amazon (ARN) del grupo de usuarios al que va a aplicar las etiquetas. Para buscar el ARN, elija el grupo de usuarios de la consola de Amazon Cognito y consulte el valor de **Pool ARN (ARN de grupo)** en la pestaña **General settings (Configuración general)**.
+ `tags` – Los pares de clave-valor de las etiquetas, en el formato `{{key}}={{value}}`.
Para asignar varias etiquetas a la vez, especifíquelas en una lista separada por comas:  

```
$ aws cognito-idp tag-resource \
> --resource-arn {{user-pool-arn}} \
> --tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```

**Example `Comando tag-resource para grupos de identidades`**  
Asigne etiquetas a un grupo de identidades utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/tag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/tag-resource.html) en el conjunto de comandos de `cognito-identity`:  

```
$ aws cognito-identity tag-resource \
> --resource-arn {{identity-pool-arn}} \
> --tags {{Stage=Test}}
```
Este comando incluye los siguientes parámetros:  
+ `resource-arn`: el nombre de recurso de Amazon (ARN) del grupo de identidades al que va a aplicar las etiquetas. Para buscar el ARN, elija el grupo de identidades en la consola de Amazon Cognito y elija **Edit identity pool (Editar grupo de identidades)**. A continuación, en **Identity pool ID (ID de grupo de identidades)**, elija **Show ARN (Mostrar ARN)**.
+ `tags` – Los pares de clave-valor de las etiquetas, en el formato `{{key}}={{value}}`.
Para asignar varias etiquetas a la vez, especifíquelas en una lista separada por comas:  

```
$ aws cognito-identity tag-resource \
> --resource-arn {{identity-pool-arn}} \
> --tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```

### Visualización de etiquetas
<a name="tagging-cli-examples-viewing"></a>

Utilice los siguientes comandos para ver las etiquetas que ha asignado a sus grupos de usuarios y de identidades.

**Example `Comando list-tags-for-resource para grupos` de usuarios**  
Consulte las etiquetas que están asignadas a un grupo de usuarios utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/list-tags-for-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/list-tags-for-resource.html) en el conjunto de comandos de `cognito-idp`:  

```
$ aws cognito-idp list-tags-for-resource --resource-arn {{user-pool-arn}}
```

**Example `Comando list-tags-for-resource para grupos de identidades`**  
Consulte las etiquetas que están asignadas a un grupo de identidades utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/list-tags-for-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/list-tags-for-resource.html) en el conjunto de comandos de `cognito-identity`:  

```
$ aws cognito-identity list-tags-for-resource --resource-arn {{identity-pool-arn}}
```

### Eliminación de etiquetas
<a name="tagging-cli-examples-removing"></a>

Utilice los siguientes comandos para eliminar etiquetas de sus grupos de usuarios y de identidades.

**Example `Comando untag-resource para grupos de usuarios`**  
Elimine etiquetas de un grupo de usuarios utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/untag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/untag-resource.html) en el conjunto de comandos de `cognito-idp`:  

```
$ aws cognito-idp untag-resource \
> --resource-arn {{user-pool-arn}} \
> --tag-keys {{Stage CostCenter Owner}}
```
Para el parámetro de `--tag-keys`, especifique una o varias claves de etiquetas. No incluya los valores de etiqueta. Claves separadas con espacios.

**Example `Comando untag-resource para grupos` de identidades**  
Elimine etiquetas de un grupo de identidades utilizando [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/untag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/untag-resource.html) en el conjunto de comandos de `cognito-identity`:  

```
$ aws cognito-identity untag-resource \
> --resource-arn {{identity-pool-arn}} \
> --tag-keys {{Stage CostCenter Owner}}
```
Para el parámetro de `--tag-keys`, especifique una o varias claves de etiquetas. No incluya los valores de etiqueta.

**importante**  
Después de eliminar un grupo de usuarios o de identidades, las etiquetas relacionadas con el grupo eliminado todavía pueden aparecer en la consola o en las llamadas a la API hasta treinta días después de su eliminación.

### Aplicación de etiquetas al crear recursos
<a name="tagging-cli-examples-applying"></a>

Utilice los siguientes comandos para asignar etiquetas en el momento de crear un grupo de usuarios o un grupo de identidades.

**Example `Comando create-user-pool` con etiquetas**  
Cuando se crea un grupo de usuarios mediante el comando [https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-idp/create-user-pool.html), es posible especificar etiquetas con el parámetro `--user-pool-tags`:  

```
$ aws cognito-idp create-user-pool \
> --pool-name {{user-pool-name}} \
> --user-pool-tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```
Key-value los pares de etiquetas deben estar en el formato. `{{key}}={{value}}` Si va a agregar varias etiquetas, especifíquelas en una lista separada por comas.

**Example `Comando create-identity-pool con etiquetas`**  
Cuando se crea un grupo de identidades mediante el comando [https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/create-identity-pool.html](https://docs.aws.amazon.com/cli/latest/reference/cognito-identity/create-identity-pool.html), es posible especificar etiquetas con el parámetro `--identity-pool-tags`:  

```
$ aws cognito-identity create-identity-pool \
> --identity-pool-name {{identity-pool-name}} \
> --allow-unauthenticated-identities \
> --identity-pool-tags {{Stage=Test,CostCenter=80432,Owner=SysEng}}
```
Key-value los pares de etiquetas deben estar en el formato. `{{key}}={{value}}` Si va a agregar varias etiquetas, especifíquelas en una lista separada por comas.

## Administración de etiquetas mediante la API de Amazon Cognito
<a name="tagging-api"></a>

Puede utilizar las siguientes acciones de la API de Amazon Cognito para administrar las etiquetas de sus grupos de usuarios y de identidades.

### Acciones de la API para las etiquetas de grupos de usuarios
<a name="tagging-api-user-pools"></a>

Utilice las siguientes acciones de la API para asignar, ver y eliminar etiquetas de los grupos de usuarios.
+ [TagResource](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_TagResource.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ListTagsForResource.html)
+ [UntagResource](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UntagResource.html)
+ [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)

### Acciones de la API para las etiquetas de grupos de identidades
<a name="tagging-api-identity-pools"></a>

Utilice las siguientes acciones de la API para asignar, ver y eliminar etiquetas de los grupos de identidades.
+ [TagResource](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_TagResource.html)
+ [ListTagsForResource](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_ListTagsForResource.html)
+ [UntagResource](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_UntagResource.html)
+ [CreateIdentityPool](https://docs.aws.amazon.com/cognitoidentity/latest/APIReference/API_CreateIdentityPool.html)

## CloudFormation permisos de etiquetado
<a name="tagging-cloudformation"></a>

Al crear o actualizar los recursos del grupo de usuarios o del grupo de identidades de Amazon Cognito AWS CloudFormation, CloudFormation puede propagar etiquetas a nivel de pila y etiquetas a nivel de sistema a sus recursos. Para permitir la propagación de esta etiqueta, el director de IAM que implementa la pila debe tener permisos de etiquetado además de los permisos de creación de recursos.

Por ejemplo, para crear un grupo de usuarios con`cognito-idp:CreateUserPool`, la persona que llama también debe tener los siguientes permisos:
+ `cognito-idp:TagResource`
+ `cognito-idp:UntagResource`
+ `cognito-idp:ListTagsForResource`

Del mismo modo, para crear un grupo de identidades con`cognito-identity:CreateIdentityPool`, la persona que llama también debe tener los siguientes permisos:
+ `cognito-identity:TagResource`
+ `cognito-identity:UntagResource`
+ `cognito-identity:ListTagsForResource`

Sin estos permisos, la creación o actualización de la pila puede fallar al CloudFormation intentar aplicar etiquetas al recurso. Si aparece un error de acceso denegado relacionado con el etiquetado durante una operación de apilado, compruebe que su política de IAM incluya estos permisos.