Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Markieren von IAM-Ressourcen
Ein Tag ist eine benutzerdefinierte Attributbezeichnung, die Sie einer AWS-Ressource zuweisen können. Jedes Tag besteht aus zwei Teilen:
-
einem Tag-Schlüssel (z. B.
CostCenter
,Environment
,Project
oderPurpose
). -
einem optionalen Feld, das als Tag-Wert bezeichnet wird (z. B.
111122223333
,Production
oder ein Team-Name). Ein nicht angegebener Tag-Wert entspricht einer leeren Zeichenfolge.
Zusammen werden sie als Schlüssel-Wert-Paare bezeichnet. Informationen zu Beschränkungen für die Anzahl der Tags, die Sie für IAM-Ressourcen haben können, finden Sie unter IAM und AWS STS-Kontingente.
Anmerkung
Einzelheiten zur Berücksichtigung der Groß- und Kleinschreibung bei Tag-Schlüsseln und Tag-Schlüsselwerten finden Sie unter Case sensitivity.
Tags helfen Ihnen, Ihre AWS-Ressourcen zu identifizieren und zu organisieren. Viele AWS-Services unterstützen das Markieren mit Tags (kurz: Tagging). So können Ressourcen aus verschiedenen Services dasselbe Tag zuweisen, um anzugeben, dass die Ressourcen verbunden sind. Sie können beispielsweise das gleiche Tag einer IAM-Rolle zuweisen, das Sie einem Amazon S3-Bucket zuweisen. Weitere Informationen zu Tagging-Strategien finden Sie im Benutzerhandbuch unter Tagging von AWS-Ressourcen.
Sie können Ihre IAM-Ressourcen nicht nur mit Tags identifizieren, organisieren und verfolgen, sondern auch Tags in IAM-Richtlinien verwenden, um zu kontrollieren, wer Ihre Ressourcen anzeigen und mit ihnen interagieren kann. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.
Sie können auch Tags in AWS STS verwenden, um benutzerdefinierte Attribute hinzuzufügen, wenn Sie eine Rolle übernehmen oder einen Benutzer föderieren. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.
Wählen Sie eine AWS-Tag-Benennungskonvention
Wenn Sie mit dem Anfügen von Tags an Ihre IAM-Ressourcen beginnen möchten, wählen Sie Ihre Tag-Benennungskonvention sorgfältig. Wenden Sie dieselbe Konvention auf alle Ihre AWS-Tags an. Dies ist besonders wichtig, wenn Sie Tags in Richtlinien verwenden, um den Zugriff auf AWS-Ressourcen zu steuern. Wenn Sie bereits Tags in AWS verwenden, überprüfen Sie Ihre Namenskonvention und passen Sie sie entsprechend an.
Anmerkung
Wenn Ihr Konto Mitglied von AWS Organizations ist, finden Sie unter Tag-Richtlinien im Benutzerhandbuch für Organisationen mehr zur Verwendung von Tags in Organisationen.
Best Practices für Tag-Benennung
Dies sind einige Best Practices und Namenskonventionen für Tags.
Stellen Sie sicher, dass Tag-Namen konsistent verwendet werden. Zum Beispiel sind die Tags CostCenter
und costcenter
unterschiedlich, sodass eines möglicherweise als Kostenverteilungs-Tag für Finanzanalysen und Berichte konfiguriert ist und das andere möglicherweise nicht. In ähnlicher Weise erscheint der Tag Name
in der AWS-Konsole für viele Ressourcen, der Tag name
jedoch nicht. Einzelheiten zur Berücksichtigung der Groß- und Kleinschreibung bei Tag-Schlüsseln und Tag-Schlüsselwerten finden Sie unter Case sensitivity.
Eine Reihe von Tags sind durch AWS vordefiniert oder werden automatisch von verschiedenen AWS-Services erstellt. Viele von AWS definierte Tag-Namen verwenden Kleinbuchstaben, wobei Bindestriche Wörter im Namen trennen, und Präfixe, um den Quelldienst für das Tag zu identifizieren. Zum Beispiel:
-
aws:ec2spot:fleet-request-id
identifiziert den Amazon EC2 Spot Instance Request, der die Instance gestartet hat. -
aws:cloudformation:stack-name
identifiziert den AWS CloudFormation-Stack, der die Ressource erstellt hat. -
elasticbeanstalk:environment-name
identifiziert die Anwendung, die die Ressource erstellt hat.
Benennen Sie Ihre Tags in Kleinbuchstaben, mit Bindestrichen, die Wörter trennen, und einem Präfix, das den Namen der Organisation oder den abgekürzten Namen identifiziert. Zum Beispiel: für ein fiktives Unternehmen namens AnyCompany können Sie Tags definieren wie:
-
anycompany:cost-center
, um den internen Cost Center-Code zu identifizieren -
anycompany:environment-type
, um festzustellen, ob es sich bei der Umgebung um Entwicklung, Test oder Produktion handelt -
anycompany:application-id
, um die Anwendung zu identifizieren, für die die Ressource erstellt wurde
Das Präfix stellt sicher, dass Tags eindeutig als von Ihrer Organisation definiert identifiziert werden und nicht von AWS, oder von einem Tool eines Drittanbieters, das Sie möglicherweise verwenden. Die Verwendung von Kleinbuchstaben mit Bindestrichen für Trennzeichen vermeidet Verwirrung bei der Großschreibung eines Tag-Namens. Zum Beispiel ist es einfacher, sich anycompany:project-id
zu merken als ANYCOMPANY:ProjectID
, anycompany:projectID
oderAnycompany:ProjectId
.
Regeln für das Tagging in IAM und AWS STS
Eine Reihe von Konventionen reguliert die Erstellung und Anwendung von Tags in IAM und AWS STS.
Benennen von Tags
Beachten Sie beim Formulieren einer Tag-Namenskonvention für IAM-Ressourcen AWS STS-Rollenübernahmesitzungen und Sitzungen von mit AWS STS Verbundbenutzern die folgenden Konventionen:
Zeichenanforderungen – Tag-Schlüssel und -Werte können eine beliebige Kombination aus Buchstaben, Zahlen, Leerzeichen und den Symbolen _ . : / = + - @ enthalten.
Groß-/Kleinschreibung – Groß-/Kleinschreibung für Tag-Schlüssel hängt vom Typ der getaggten IAM-Ressource ab. Tag-Schlüsselwerte für IAM-Benutzer und IAM-Rollen unterscheiden nicht zwischen Groß-/Kleinschreibung, die Groß-/Kleinschreibung wird jedoch berücksichtigt. Dies bedeutet, dass Sie keine separaten Department
- und department
-Tag-Schlüssel haben können. Wenn Sie einen Benutzer mit dem Department=finance
-Tag markiert haben und Sie das department=hr
-Tag hinzufügen, wird das erste Tag ersetzt. Ein zweites Tag wird nicht hinzugefügt.
Bei anderen IAM-Ressourcentypen wird bei Tag-Schlüsselwerten die Groß-/Kleinschreibung unterscheiden. Das bedeutet, dass Sie separate Costcenter
- und costcenter
-Tag-Schlüssel haben können. Wenn Sie beispielsweise eine von Kunden verwaltete Richtlinie mit dem Costcenter = 1234
-Tag markiert haben und das costcenter =
5678
-Tag hinzufügen, verfügt die Richtlinie über die Costcenter
- und die costcenter
-Tag-Schlüssel.
Als Best Practice empfehlen wir Ihnen, die Verwendung ähnlicher Tags bei inkonsistenter Groß-/Kleinschreibung zu vermeiden. Wir empfehlen Ihnen, sich für eine einheitliche Schreibweise der Tag-Benennungen zu entscheiden und diese Strategie für alle Ressourcentypen umzusetzen. Weitere Informationen zu bewährten Tagging-Methoden finden Sie unter Tagging von AWS-Ressourcen in der Allgemeine AWS-Referenz.
Die folgenden Listen zeigen die Unterschiede in der Groß-/Kleinschreibung für Tag-Schlüssel, die an IAM-Ressourcen angehängt sind.
Tag-Schlüsselwerte unterscheiden nicht zwischen Groß-/Kleinschreibung:
-
IAM-Rollen
-
IAM-Benutzer
Bei Tag-Schlüsselwerten wird die Groß-/Kleinschreibung berücksichtigt.
-
Kundenverwaltete Richtlinien
-
Instance-Profile
-
OpenID-Connect-Identitätsanbieter
-
SAML-Identitätsanbieter
-
Serverzertifikate
-
Virtuelle MFA-Geräte
Darüber hinaus gelten die folgenden Regeln:
-
Sie können keinen Tag-Schlüssel oder -Wert erstellen, der mit dem Text
aws:
beginnt. Dieses Tag-Präfix ist zur internen AWS-Verwendung reserviert. -
Sie können ein Tag mit einem leeren Wert erstellen, wie z. B.
phoneNumber =
. Sie können keinen leeren Tag-Schlüssel erstellen. -
Sie können nicht mehrere Werte in einem einzigen Tag angeben. Sie können jedoch eine benutzerdefinierte mehrwertige Struktur in dem einzelnen Wert erstellen. Nehmen Sie beispielsweise an, dass der Benutzer Zhang im Entwicklungsteam und dem QA-Team arbeitet. Wenn Sie das
team = Engineering
-Tag und dann dasteam = QA
Tag anfügen, ändern Sie den Wert des Tags vonEngineering
zuQA
. Stattdessen können Sie mehrere Werte in einem einzigen Tag mit einem benutzerdefinierten Trennzeichen einfügen. In diesem Beispiel könnten Sie dasteam = Engineering:QA
-Tag Zhang anfügen.Anmerkung
Um den Zugriff auf die Entwickler in diesem Beispiel mit dem
team
-Tag zu steuern, müssen Sie eine Richtlinie erstellen, die jede Konfiguration zulässt, dieEngineering
einschließlichEngineering:QA
enthalten könnte. Weitere Informationen zur Verwendung von Tags in Richtlinien finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.
Anwenden und Bearbeiten von Tags
Beachten Sie die folgenden Konventionen beim Anfügen von Tags zu IAM-Ressourcen:
-
Sie können die meisten IAM-Ressourcen markieren, jedoch keine Gruppen, angenommene Rollen, Zugriffsberichte oder hardwarebasierte MFA-Geräte.
-
Sie können den Tag-Editor nicht verwenden, um IAM-Ressourcen zu markieren. Der Tag-Editor unterstützt keine IAM-Tags. Informationen zur Verwendung des Tag-Editors mit anderen Services finden Sie unter Arbeiten mit dem Tag-Editor im AWS Resource Groups-Leitfaden.
-
Um eine IAM-Ressource zu markieren, müssen Sie über spezifische Berechtigungen verfügen. Um Ressourcen zu markieren oder die Markierung zu entfernen, müssen Sie auch über die Berechtigung verfügen, Tags aufzulisten. Weitere Informationen finden Sie in der Liste der Themen für jede IAM-Ressource am Ende dieser Seite.
-
Anzahl und Größe von IAM-Ressourcen in einem AWS-Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und AWS STS-Kontingente.
-
Sie können dasselbe Tag auf mehrere IAM-Ressourcen anwenden. Angenommen, Sie haben eine Abteilung namens Namen
AWS_Development
mit 12 Mitarbeitern. Sie können 12 Benutzer und eine Rolle mit dem Tag-Schlüsseldepartment
und dem WertawsDevelopment
(department = awsDevelopment
) haben. Darüber hinaus können Sie das gleiche Tag für Ressourcen in anderen Services verwenden, die Markierungen unterstützen. -
IAM-Entitäten (Benutzer oder Rollen) können nicht mehrere Instances desselben Tag-Schlüssels haben. Wenn Sie z. B. einen Benutzer mit dem Tag-Schlüssel-Wert-Paar
costCenter = 1234
haben, können Sie das Tag-Schlüssel-Wert-PaarcostCenter = 5678
anfügen. IAM aktualisiert den Wert descostCenter
-Tag auf5678
. -
Um ein Tag zu bearbeiten, das einer IAM-Entität (Benutzer oder Rolle) angefügt ist, fügen Sie ein Tag mit einem neuen Wert an, um das vorhandene Tag zu überschreiben. Angenommen, Sie haben einen Benutzer mit dem Tag-Schlüsselwertpaar
department = Engineering
. Wenn Sie den Benutzer in die QA-Abteilung verschieben möchten, dann können Sie dasdepartment = QA
-Tag-Schlüsselwertpaar an den Benutzer anfügen. Dadurch wird derEngineering
-Wert desdepartment
-Tag-Schlüssels mit demQA
-Wert ersetzt.