Markieren von IAM-Ressourcen - AWS Identitäts- und Zugriffsverwaltung
Wählen Sie eine AWS-Tag-BenennungskonventionRegeln für das Tagging in IAM und AWS STS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Markieren von IAM-Ressourcen

Ein Tag ist eine benutzerdefinierte Attributbezeichnung, die Sie einer AWS-Ressource zuweisen können. Jedes Tag besteht aus zwei Teilen:

  • einem Tag-Schlüssel (z. B. CostCenter, Environment, Project oder Purpose).

  • einem optionalen Feld, das als Tag-Wert bezeichnet wird (z. B. 111122223333, Production oder ein Team-Name). Ein nicht angegebener Tag-Wert entspricht einer leeren Zeichenfolge.

Zusammen werden sie als Schlüssel-Wert-Paare bezeichnet. Informationen zu Beschränkungen für die Anzahl der Tags, die Sie für IAM-Ressourcen haben können, finden Sie unter IAM und AWS STS-Kontingente.

Anmerkung

Einzelheiten zur Berücksichtigung der Groß- und Kleinschreibung bei Tag-Schlüsseln und Tag-Schlüsselwerten finden Sie unter Case sensitivity.

Tags helfen Ihnen, Ihre AWS-Ressourcen zu identifizieren und zu organisieren. Viele AWS-Services unterstützen das Markieren mit Tags (kurz: Tagging). So können Ressourcen aus verschiedenen Services dasselbe Tag zuweisen, um anzugeben, dass die Ressourcen verbunden sind. Sie können beispielsweise das gleiche Tag einer IAM-Rolle zuweisen, das Sie einem Amazon S3-Bucket zuweisen. Weitere Informationen zu Tagging-Strategien finden Sie im Benutzerhandbuch unter Tagging von AWS-Ressourcen.

Sie können Ihre IAM-Ressourcen nicht nur mit Tags identifizieren, organisieren und verfolgen, sondern auch Tags in IAM-Richtlinien verwenden, um zu kontrollieren, wer Ihre Ressourcen anzeigen und mit ihnen interagieren kann. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.

Sie können auch Tags in AWS STS verwenden, um benutzerdefinierte Attribute hinzuzufügen, wenn Sie eine Rolle übernehmen oder einen Benutzer föderieren. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.

Wählen Sie eine AWS-Tag-Benennungskonvention

Wenn Sie mit dem Anfügen von Tags an Ihre IAM-Ressourcen beginnen möchten, wählen Sie Ihre Tag-Benennungskonvention sorgfältig. Wenden Sie dieselbe Konvention auf alle Ihre AWS-Tags an. Dies ist besonders wichtig, wenn Sie Tags in Richtlinien verwenden, um den Zugriff auf AWS-Ressourcen zu steuern. Wenn Sie bereits Tags in AWS verwenden, überprüfen Sie Ihre Namenskonvention und passen Sie sie entsprechend an.

Anmerkung

Wenn Ihr Konto Mitglied von AWS Organizations ist, finden Sie unter Tag-Richtlinien im Benutzerhandbuch für Organisationen mehr zur Verwendung von Tags in Organisationen.

Best Practices für Tag-Benennung

Dies sind einige Best Practices und Namenskonventionen für Tags.

Stellen Sie sicher, dass Tag-Namen konsistent verwendet werden. Zum Beispiel sind die Tags CostCenter und costcenter unterschiedlich, sodass eines möglicherweise als Kostenverteilungs-Tag für Finanzanalysen und Berichte konfiguriert ist und das andere möglicherweise nicht. In ähnlicher Weise erscheint der Tag Name in der AWS-Konsole für viele Ressourcen, der Tag name jedoch nicht. Einzelheiten zur Berücksichtigung der Groß- und Kleinschreibung bei Tag-Schlüsseln und Tag-Schlüsselwerten finden Sie unter Case sensitivity.

Eine Reihe von Tags sind durch AWS vordefiniert oder werden automatisch von verschiedenen AWS-Services erstellt. Viele von AWS definierte Tag-Namen verwenden Kleinbuchstaben, wobei Bindestriche Wörter im Namen trennen, und Präfixe, um den Quelldienst für das Tag zu identifizieren. Zum Beispiel:

  • aws:ec2spot:fleet-request-id identifiziert den Amazon EC2 Spot Instance Request, der die Instance gestartet hat.

  • aws:cloudformation:stack-name identifiziert den AWS CloudFormation-Stack, der die Ressource erstellt hat.

  • elasticbeanstalk:environment-name identifiziert die Anwendung, die die Ressource erstellt hat.

Benennen Sie Ihre Tags in Kleinbuchstaben, mit Bindestrichen, die Wörter trennen, und einem Präfix, das den Namen der Organisation oder den abgekürzten Namen identifiziert. Zum Beispiel: für ein fiktives Unternehmen namens AnyCompany können Sie Tags definieren wie:

  • anycompany:cost-center, um den internen Cost Center-Code zu identifizieren

  • anycompany:environment-type, um festzustellen, ob es sich bei der Umgebung um Entwicklung, Test oder Produktion handelt

  • anycompany:application-id, um die Anwendung zu identifizieren, für die die Ressource erstellt wurde

Das Präfix stellt sicher, dass Tags eindeutig als von Ihrer Organisation definiert identifiziert werden und nicht von AWS, oder von einem Tool eines Drittanbieters, das Sie möglicherweise verwenden. Die Verwendung von Kleinbuchstaben mit Bindestrichen für Trennzeichen vermeidet Verwirrung bei der Großschreibung eines Tag-Namens. Zum Beispiel ist es einfacher, sich anycompany:project-id zu merken als ANYCOMPANY:ProjectID, anycompany:projectID oderAnycompany:ProjectId.

Regeln für das Tagging in IAM und AWS STS

Eine Reihe von Konventionen reguliert die Erstellung und Anwendung von Tags in IAM und AWS STS.

Benennen von Tags

Beachten Sie beim Formulieren einer Tag-Namenskonvention für IAM-Ressourcen AWS STS-Rollenübernahmesitzungen und Sitzungen von mit AWS STS Verbundbenutzern die folgenden Konventionen:

Zeichenanforderungen – Tag-Schlüssel und -Werte können eine beliebige Kombination aus Buchstaben, Zahlen, Leerzeichen und den Symbolen _ . : / = + - @ enthalten.

Groß-/Kleinschreibung – Groß-/Kleinschreibung für Tag-Schlüssel hängt vom Typ der getaggten IAM-Ressource ab. Tag-Schlüsselwerte für IAM-Benutzer und IAM-Rollen unterscheiden nicht zwischen Groß-/Kleinschreibung, die Groß-/Kleinschreibung wird jedoch berücksichtigt. Dies bedeutet, dass Sie keine separaten Department- und department-Tag-Schlüssel haben können. Wenn Sie einen Benutzer mit dem Department=finance-Tag markiert haben und Sie das department=hr-Tag hinzufügen, wird das erste Tag ersetzt. Ein zweites Tag wird nicht hinzugefügt.

Bei anderen IAM-Ressourcentypen wird bei Tag-Schlüsselwerten die Groß-/Kleinschreibung unterscheiden. Das bedeutet, dass Sie separate Costcenter- und costcenter-Tag-Schlüssel haben können. Wenn Sie beispielsweise eine von Kunden verwaltete Richtlinie mit dem Costcenter = 1234-Tag markiert haben und das costcenter = 5678-Tag hinzufügen, verfügt die Richtlinie über die Costcenter- und die costcenter-Tag-Schlüssel.

Als Best Practice empfehlen wir Ihnen, die Verwendung ähnlicher Tags bei inkonsistenter Groß-/Kleinschreibung zu vermeiden. Wir empfehlen Ihnen, sich für eine einheitliche Schreibweise der Tag-Benennungen zu entscheiden und diese Strategie für alle Ressourcentypen umzusetzen. Weitere Informationen zu bewährten Tagging-Methoden finden Sie unter Tagging von AWS-Ressourcen in der Allgemeine AWS-Referenz.

Die folgenden Listen zeigen die Unterschiede in der Groß-/Kleinschreibung für Tag-Schlüssel, die an IAM-Ressourcen angehängt sind.

Tag-Schlüsselwerte unterscheiden nicht zwischen Groß-/Kleinschreibung:

  • IAM-Rollen

  • IAM-Benutzer

Bei Tag-Schlüsselwerten wird die Groß-/Kleinschreibung berücksichtigt.

  • Kundenverwaltete Richtlinien

  • Instance-Profile

  • OpenID-Connect-Identitätsanbieter

  • SAML-Identitätsanbieter

  • Serverzertifikate

  • Virtuelle MFA-Geräte

Darüber hinaus gelten die folgenden Regeln:

  • Sie können keinen Tag-Schlüssel oder -Wert erstellen, der mit dem Text aws: beginnt. Dieses Tag-Präfix ist zur internen AWS-Verwendung reserviert.

  • Sie können ein Tag mit einem leeren Wert erstellen, wie z. B. phoneNumber = . Sie können keinen leeren Tag-Schlüssel erstellen.

  • Sie können nicht mehrere Werte in einem einzigen Tag angeben. Sie können jedoch eine benutzerdefinierte mehrwertige Struktur in dem einzelnen Wert erstellen. Nehmen Sie beispielsweise an, dass der Benutzer Zhang im Entwicklungsteam und dem QA-Team arbeitet. Wenn Sie das team = Engineering-Tag und dann das team = QA Tag anfügen, ändern Sie den Wert des Tags von Engineering zu QA. Stattdessen können Sie mehrere Werte in einem einzigen Tag mit einem benutzerdefinierten Trennzeichen einfügen. In diesem Beispiel könnten Sie das team = Engineering:QA-Tag Zhang anfügen.

    Anmerkung

    Um den Zugriff auf die Entwickler in diesem Beispiel mit dem team-Tag zu steuern, müssen Sie eine Richtlinie erstellen, die jede Konfiguration zulässt, die Engineering einschließlich Engineering:QA enthalten könnte. Weitere Informationen zur Verwendung von Tags in Richtlinien finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.

Anwenden und Bearbeiten von Tags

Beachten Sie die folgenden Konventionen beim Anfügen von Tags zu IAM-Ressourcen:

  • Sie können die meisten IAM-Ressourcen markieren, jedoch keine Gruppen, angenommene Rollen, Zugriffsberichte oder hardwarebasierte MFA-Geräte.

  • Sie können den Tag-Editor nicht verwenden, um IAM-Ressourcen zu markieren. Der Tag-Editor unterstützt keine IAM-Tags. Informationen zur Verwendung des Tag-Editors mit anderen Services finden Sie unter Arbeiten mit dem Tag-Editor im AWS Resource Groups-Leitfaden.

  • Um eine IAM-Ressource zu markieren, müssen Sie über spezifische Berechtigungen verfügen. Um Ressourcen zu markieren oder die Markierung zu entfernen, müssen Sie auch über die Berechtigung verfügen, Tags aufzulisten. Weitere Informationen finden Sie in der Liste der Themen für jede IAM-Ressource am Ende dieser Seite.

  • Anzahl und Größe von IAM-Ressourcen in einem AWS-Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und AWS STS-Kontingente.

  • Sie können dasselbe Tag auf mehrere IAM-Ressourcen anwenden. Angenommen, Sie haben eine Abteilung namens Namen AWS_Development mit 12 Mitarbeitern. Sie können 12 Benutzer und eine Rolle mit dem Tag-Schlüssel department und dem Wert awsDevelopment (department = awsDevelopment) haben. Darüber hinaus können Sie das gleiche Tag für Ressourcen in anderen Services verwenden, die Markierungen unterstützen.

  • IAM-Entitäten (Benutzer oder Rollen) können nicht mehrere Instances desselben Tag-Schlüssels haben. Wenn Sie z. B. einen Benutzer mit dem Tag-Schlüssel-Wert-Paar costCenter = 1234 haben, können Sie das Tag-Schlüssel-Wert-Paar costCenter = 5678 anfügen. IAM aktualisiert den Wert des costCenter-Tag auf 5678.

  • Um ein Tag zu bearbeiten, das einer IAM-Entität (Benutzer oder Rolle) angefügt ist, fügen Sie ein Tag mit einem neuen Wert an, um das vorhandene Tag zu überschreiben. Angenommen, Sie haben einen Benutzer mit dem Tag-Schlüsselwertpaar department = Engineering. Wenn Sie den Benutzer in die QA-Abteilung verschieben möchten, dann können Sie das department = QA-Tag-Schlüsselwertpaar an den Benutzer anfügen. Dadurch wird der Engineering-Wert des department-Tag-Schlüssels mit dem QA-Wert ersetzt.

Themen