Markieren von IAM-Rollen - AWS Identitäts- und Zugriffsverwaltung
Erforderliche Berechtigungen für das Markieren von IAM-RollenVerwalten von Tags auf IAM-Rollen (Konsole)Verwaltung von Tags in IAM-Rollen (AWS CLI oder AWS API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Markieren von IAM-Rollen

Sie können -Tag-Schlüsselwertpaare verwenden, um einer IAM-Rolle benutzerdefinierte Attribute hinzuzufügen. Wenn Sie beispielsweise einer Rolle Standortinformationen hinzufügen, können Sie den Tag-Schlüssel location und den Tag-Wert us_wa_seattle hinzufügen. Alternativ könnten Sie drei getrennte Standort-Tag-Schlüsselwertpaare verwenden: loc-country = us, loc-state = wa und loc-city = seattle. Sie können Tags verwenden, um den Zugriff einer Rolle auf Ressourcen zu steuern oder zu kontrollieren, welche Tags mit einer Rolle verknüpft werden können. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.

Sie können Tags auch verwenden AWS STS , um benutzerdefinierte Attribute hinzuzufügen, wenn Sie eine Rolle übernehmen oder einen Benutzer verbinden. Weitere Informationen finden Sie unter Sitzungs-Tags übergeben AWS STS.

Erforderliche Berechtigungen für das Markieren von IAM-Rollen

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Rolle andere Entitäten (Benutzer oder Rolle) markieren kann. Sie können eine oder alle der folgenden IAM-Tag-Aktionen in einer IAM-Richtlinien angeben:

  • iam:ListRoleTags

  • iam:TagRole

  • iam:UntagRole

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

So erlauben Sie einer IAM-Rolle das Hinzufügen, Auflisten oder Entfernen eines Tags für einen bestimmten Benutzer

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Rolle hinzu, die Tags verwalten soll. Verwenden Sie Ihre Kontonummer und ersetzen Sie <username> durch den Namen des Benutzers, dessen Tags verwaltet werden müssen. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser",
        "iam:UntagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}
So erlauben Sie einer IAM-Rolle das Hinzufügen eines Tags zu einem bestimmten Benutzer

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Rolle hinzu, die Tags für einen bestimmten Benutzer hinzufügen, jedoch nicht entfernen soll.

Zur Verwendung dieser Richtlinie ersetzen Sie <username> durch den Namen des Benutzers, dessen Tags verwaltet werden müssen. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}
So erlauben Sie einer IAM-Rolle das Hinzufügen, Auflisten oder Entfernen eines Tags für eine bestimmte Rolle

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Rolle hinzu, die Tags verwalten soll. Ersetzen Sie <rolename> durch den Namen der Rolle, dessen Tags verwaltet werden müssen. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListRoleTags",
        "iam:TagRole",
        "iam:UntagRole"
    ],
    "Resource": "arn:aws:iam::<account-number>:role/<rolename>"
}

Alternativ können Sie eine AWS verwaltete Richtlinie wie IAM verwenden, FullAccess um vollen Zugriff auf IAM zu gewähren.

Verwalten von Tags auf IAM-Rollen (Konsole)

Sie können Tags für IAM-Rollen über die AWS Management Console verwalten.

Verwalten von Tags auf Rollen (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der Konsole Rollen aus und wählen Sie dann den Namen der Rolle aus, die Sie bearbeiten möchten.

  3. Wählen Sie die Registerkarte Tags aus und schließen Sie eine der folgenden Aktionen ab:

    • Wählen Sie Add new tag (Neues Tag hinzufügen), wenn die Rolle noch nicht über Tags verfügt.

    • Wählen Sie Manage tags (Tags verwalten), um den vorhandenen Satz von Tags zu verwalten.

  4. Fügen Sie Tags hinzu oder entfernen Sie sie, um den Satz von Tags abzuschließen. Dann wählen Sie Save changes (Änderungen speichern) aus.

Verwaltung von Tags in IAM-Rollen (AWS CLI oder AWS API)

Sie können Tags für IAM-Rollen auflisten, anfügen oder entfernen. Sie können die AWS CLI oder die AWS API verwenden, um Tags für IAM-Rollen zu verwalten.

Um die Tags aufzulisten, die derzeit mit einer IAM-Rolle (AWS CLI oder AWS API) verknüpft sind
Um Tags an eine IAM-Rolle (AWS CLI oder AWS API) anzuhängen
Um Tags aus einer IAM-Rolle (AWS CLI oder AWS API) zu entfernen

Informationen zum Anhängen von Tags an Ressourcen für andere AWS Dienste finden Sie in der Dokumentation zu diesen Diensten.

Weitere Informationen über die Verwendung von Tags, um präzisere Berechtigungen mit IAM-Berechtigungsrichtlinien festzulegen, finden Sie unter IAM-Richtlinienelemente: Variablen und Tags.