Markieren von Benutzern und Rollen in IAM - AWS Identity and Access Management

Markieren von Benutzern und Rollen in IAM

Sie können IAM-Tags verwenden, um benutzerdefinierte Attribute zu einer IAM-Entität (Benutzer oder Rolle) mithilfe eines Tag-Schlüssel–Wert-Paares hinzuzufügen. Wenn Sie beispielsweise einem Benutzer Standortinformationen hinzufügen, können Sie den Tag-Schlüssel location und den Tag-Wert us_wa_seattle hinzufügen. Alternativ könnten Sie drei getrennte Standort-Tag-Schlüssel–Wert-Paare verwenden: loc-country = us, loc-state = wa und loc-city = seattle. Sie können Tags verwenden, um den Zugriff einer Entität auf Ressourcen zu steuern oder zu kontrollieren, welche Tags mit einer Entität verknüpft werden können. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und -Rollen mithilfe von IAM-Ressourcen-Tags.

Sie können auch Tags in AWS STS verwenden, um benutzerdefinierte Attribute hinzuzufügen, wenn Sie eine Rolle übernehmen oder einen Benutzer föderieren. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.

Wählen Sie eine AWS-Tag-Benennungskonvention

Wenn Sie mit dem Anfügen von Tags an Ihre IAM-Benutzer und -Rollen beginnen möchten, wählen Sie Ihre Tag-Benennungskonvention sorgfältig aus. Wenden Sie dieselbe Konvention auf alle Ihre AWS-Tags an. Dies ist besonders wichtig, wenn Sie Tags in Richtlinien verwenden, um den Zugriff auf AWS-Ressourcen zu steuern. Wenn Sie bereits Tags in AWS verwenden, überprüfen Sie Ihre Namenskonvention und passen Sie sie entsprechend an. Weitere Informationen zu Kennzeichnungskategorien und -strategien finden Sie unter AWS Taggen von AWS-Ressourcen im AWS General Reference Handbuch. Laden Sie das Whitepaper für Tagging Best Practices herunter, um Anwendungsfälle und bewährte Methoden für Tagging anzuzeigen.

Regeln für das Tagging in IAM und AWS STS

Eine Reihe von Konventionen reguliert die Erstellung und Anwendung von Tags in IAM und AWS STS.

Benennen von Tags

Beachten Sie beim Formulieren einer Tag-Namenskonvention für IAM-Benutzer, IAM-Rollen, AWS STS-Rollenübernahmesitzungen und Sitzungen von mit AWS STS verbundenen Benutzern die folgenden Konventionen:

  • Tag-Schlüssel und -Werte können eine beliebige Kombination aus Buchstaben, Zahlen, Leerzeichen und den Symbolen _ . : / = + - @ . enthalten.

  • Bei Tag-Schlüssel–Wert-Paaren wird nicht zwischen Groß- und Kleinschreibung unterschieden, die Groß-/Kleinschreibung wird jedoch berücksichtigt. Dies bedeutet, dass Sie keine separaten Department- und department-Tag-Schlüssel haben können. Wenn Sie einen Benutzer mit dem Department=foo-Tag markiert haben und Sie das department=bar-Tag hinzufügen, wird das erste Tag ersetzt. Ein zweites Tag wird nicht hinzugefügt.

  • Sie können keinen Tag-Schlüssel oder -Wert erstellen, der mit dem Text aws: beginnt. Dieses Tag-Präfix ist zur internen AWS-Verwendung reserviert.

  • Sie können ein Tag mit einem leeren Wert erstellen, wie z. B. phoneNumber = . Sie können keinen leeren Tag-Schlüssel erstellen.

  • Sie können nicht mehrere Werte in einem einzigen Tag angeben. Sie können jedoch eine benutzerdefinierte mehrwertige Struktur in dem einzelnen Wert erstellen. Nehmen Sie beispielsweise an, dass der Benutzer Zhang im Entwicklungsteam und dem QA-Team arbeitet. Wenn Sie das team = Engineering-Tag und dann das team = QA Tag anfügen, ändern Sie den Wert des Tags von Engineering zu QA. Stattdessen können Sie mehrere Werte in einem einzigen Tag mit einem benutzerdefinierten Trennzeichen einfügen. In diesem Beispiel könnten Sie das team = Engineering:QA-Tag Zhang anfügen.

    Anmerkung

    Um den Zugriff auf die Entwickler in diesem Beispiel mit dem team-Tag zu steuern, müssen Sie eine Richtlinie erstellen, die jede Konfiguration zulässt, die Engineering einschließlich Engineering:QA enthalten könnte. Weitere Informationen zur Verwendung von Tags in Richtlinien finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und -Rollen mithilfe von IAM-Ressourcen-Tags.

Anwenden und Bearbeiten von Tags

Beachten Sie die folgenden Konventionen beim Anfügen von Tags an IAM-Entitäten (Benutzer oder Rollen):

  • Sie können Benutzer oder Rollen markieren, jedoch keine Gruppen oder Richtlinien.

  • Sie können den Tag-Editor nicht verwenden, um IAM-Entitäten zu markieren. Der Tag-Editor unterstützt keine IAM-Tags. Informationen zur Verwendung des Tag-Editors mit anderen Services finden Sie unter Arbeiten mit dem Tag-Editor im AWS Management Console-Benutzerhandbuch.

  • Um eine IAM-Entität zu markieren, müssen Sie über spezifische Berechtigungen verfügen. Um Rollen und Benutzer zu markieren oder die Markierung zu entfernen, müssen Sie auch über die Berechtigung verfügen, Tags aufzulisten. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für das Taggen von IAM-Entitäten.

  • Anzahl und Größe der IAM-Ressourcen in einem AWS-Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und STS-Kontingente.

  • Sie können dasselbe Tag auf mehrere IAM-Entitäten anwenden. Angenommen, Sie haben eine Abteilung namens Namen AWS_Development mit 12 Mitarbeitern. Sie können 12 Benutzer und eine Rolle mit dem Tag-Schlüssel department und dem Wert awsDevelopment (department = awsDevelopment) haben. Darüber hinaus können Sie das gleiche Tag für Ressourcen in anderen Services verwenden, die Markierungen unterstützen.

  • Eine IAM-Entität kann nicht mehrere Instances mit demselben Tag-Schlüssel haben. Wenn Sie beispielsweise einen Benutzer mit dem Tag-Schlüssel–Wert-Paar costCenter = 1234 haben, können Sie dann das Tag-Schlüssel–Wert-Paar costCenter = 5678 anfügen. IAM aktualisiert den Wert des costCenter-Tags auf 5678.

  • Um ein Tag zu bearbeiten, das einem IAM-Benutzer oder -Rolle angefügt ist, fügen Sie ein Tag mit einem neuen Wert an, um das vorhandene Tag zu überschreiben. Angenommen, Sie haben einen Benutzer mit dem Tag-Schlüssel–Wert-Paar department = Engineering. Wenn Sie den Benutzer in die QA-Abteilung verschieben möchten, dann können Sie das department = QA-Tag-Schlüssel–Wert-Paar an den Benutzer anhängen. Dadurch wird der Engineering-Wert des department-Tag-Schlüssels mit dem QA-Wert ersetzt.

Erforderliche Berechtigungen für das Taggen von IAM-Entitäten

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (Benutzer oder Rolle) andere Entitäten markieren kann. Sie können eine oder alle der folgenden IAM-Tag-Aktionen in einer IAM-Richtlinien angeben:

  • iam:ListRoleTags

  • iam:ListUserTags

  • iam:TagRole

  • iam:TagUser

  • iam:UntagRole

  • iam:UntagUser

So erlauben Sie einer IAM-Entität das Hinzufügen, Auflisten oder Entfernen eines Tags für einen bestimmten Benutzer

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die Tags verwalten soll. Verwenden Sie Ihre Kontonummer und ersetzen Sie <username> durch den Namen des Benutzers, der verwaltet werden muss. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien auf der Registerkarte „JSON“.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

So erlauben Sie einem IAM-Benutzer Tags selbst zu verwalten

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für Benutzer hinzu, um Benutzern zu erlauben, ihre eigenen Tags zu verwalten. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien auf der Registerkarte „JSON“.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:user/${aws:username}" }

So erlauben Sie einer IAM-Entität das Hinzufügen eines Tags zu einem bestimmten Benutzer

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die Tags für einen bestimmten Benutzer hinzufügen, jedoch nicht entfernen soll.

Anmerkung

Die Aktionen iam:AddUserTags und iam:AddRoleTags erfordern, dass Sie auch die Aktionen iam:ListUserTags und iam:ListRoleTags einschließen.

Zur Verwendung dieser Richtlinie ersetzen Sie <username> durch den Namen des Benutzers, der verwaltet werden muss. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien auf der Registerkarte „JSON“.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

So erlauben Sie einer IAM-Entität das Hinzufügen, Auflisten oder Entfernen eines Tags für eine bestimmte Rolle

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die Tags verwalten soll. Ersetzen Sie <Rollenname> durch den Namen der Rolle, die verwaltet werden muss. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien auf der Registerkarte „JSON“.

{ "Effect": "Allow", "Action": [ "iam:ListRoleTags", "iam:TagRole", "iam:UntagRole" ], "Resource": "arn:aws:iam:*:<account-number>:role/<rolename>" }

Alternativ können Sie mit einer verwalteten AWS-Richtlinie wie IAMFullAccess Vollzugriff auf IAM gewähren.

Verwalten von Tags für IAM-Entitäten (Konsole)

Sie können Tags für IAM-Benutzer oder -Rollen über die AWS Management Console verwalten.

So verwalten Sie Tags für Benutzer oder Rollen (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der Konsole Rollen oder Benutzer aus und wählen Sie dann den Namen der Entität aus, die Sie bearbeiten möchten.

  3. Wählen Sie die Registerkarte Tags aus und schließen Sie eine der folgenden Aktionen ab:

    • Wählen Sie Add Tags (Tags hinzufügen) aus, wenn die Entität noch nicht über Tags verfügt.

    • Wählen Sie Edit Tags (Tags bearbeiten) aus, um den vorhandenen Satz von Tags zu verwalten.

  4. Fügen Sie Tags hinzu oder entfernen Sie sie, um den Satz von Tags abzuschließen. Wählen Sie dann Save changes (Änderungen speichern) aus.

Verwalten von Tags für IAM-Entitäten (AWS CLI oder AWS-API)

Sie können Tags für IAM-Benutzer und -Rollen auflisten, anfügen oder entfernen. Sie können die AWS CLI oder die AWS-API verwenden, um Tags für IAM-Benutzer und -Rollen zu verwalten.

So listen Sie die Tags auf, die derzeit an eine IAM-Rolle angefügt sind (AWS CLI oder AWS-API)

So listen Sie die Tags auf, die derzeit an einen IAM-Benutzer angefügt sind (AWS CLI oder AWS-API)

So fügen Sie Tags einer IAM-Rolle an (AWS CLI oder AWS-API)

So fügen Sie Tags einem IAM-Benutzer an (AWS CLI oder AWS-API)

So entfernen Sie Tags aus einer IAM-Rolle (AWS CLI oder AWS-API)

So entfernen Sie Tags aus einem IAM-Benutzer (AWS CLI oder AWS-API)

Informationen über das Anfügen von Tags an Ressourcen für andere AWS-Services finden Sie in der Dokumentation für diese Services.

Weitere Informationen über die Verwendung von Tags, um präzisere Berechtigungen mit IAM-Berechtigungsrichtlinien festzulegen, finden Sie unter IAM-Richtlinienelemente: Variablen und Tags.