Markieren von IAM-Benutzern - AWS Identitäts- und Zugriffsverwaltung
Erforderliche Berechtigungen für das Markieren von IAM-BenutzernVerwalten von Tags auf IAM-Benutzern (Konsole)Verwalten von Tags auf IAM-Benutzer (AWS CLI- oder AWS-API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Markieren von IAM-Benutzern

Sie können IAM-Tag-Schlüsselwertpaare verwenden, um einem IAM-Benutzer benutzerdefinierte Attribute hinzuzufügen. Wenn Sie beispielsweise einem Benutzer Standortinformationen hinzufügen, können Sie den Tag-Schlüssel location und den Tag-Wert us_wa_seattle hinzufügen. Alternativ könnten Sie drei getrennte Standort-Tag-Schlüsselwertpaare verwenden: loc-country = us, loc-state = wa und loc-city = seattle. Sie können Tags verwenden, um den Zugriff eines Benutzers auf Ressourcen zu steuern oder zu kontrollieren, welche Tags mit einem Benutzer verknüpft werden können. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.

Sie können auch Tags in AWS STS verwenden, um benutzerdefinierte Attribute hinzuzufügen, wenn Sie eine Rolle übernehmen oder einen Benutzer föderieren. Weitere Informationen finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.

Erforderliche Berechtigungen für das Markieren von IAM-Benutzern

Sie müssen Berechtigungen konfigurieren, damit ein IAM-Benutzer andere Benutzer markieren kann. Sie können eine oder alle der folgenden IAM-Tag-Aktionen in einer IAM-Richtlinien angeben:

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

So erlauben Sie einem IAM-Benutzer das Hinzufügen, Auflisten oder Entfernen eines Tags für einen bestimmten Benutzer

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für den IAM-Benutzer hinzu, der Tags verwalten soll. Verwenden Sie Ihre Kontonummer und ersetzen Sie <username> durch den Namen des Benutzers, dessen Tags verwaltet werden müssen. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser",
        "iam:UntagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}
So erlauben Sie einem IAM-Benutzer Tags selbst zu verwalten

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für Benutzer hinzu, um Benutzern zu erlauben, ihre eigenen Tags zu verwalten. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser",
        "iam:UntagUser"
    ],
    "Resource": "arn:aws:iam::user/${aws:username}"
}
So erlauben Sie einem IAM-Benutzer, einem bestimmten Benutzer ein Tag hinzuzufügen

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für den IAM-Benutzer hinzu, der Tags für einen bestimmten Benutzer hinzufügen, jedoch nicht entfernen soll.

Anmerkung

Die iam:TagUser-Aktion erfordert, dass Sie auch die iam:ListUserTags-Aktion einbeziehen.

Zur Verwendung dieser Richtlinie ersetzen Sie <username> durch den Namen des Benutzers, dessen Tags verwaltet werden müssen. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}

Alternativ können Sie mit einer verwalteten AWS-Richtlinie wie IAMFullAccess Vollzugriff auf IAM gewähren.

Verwalten von Tags auf IAM-Benutzern (Konsole)

Sie können Tags für IAM-Benutzer über die AWS Management Console verwalten.

Verwalten von Tags auf Benutzern (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der Konsole Users (Benutzer) aus und wählen Sie dann den Namen des Benutzers aus, den Sie bearbeiten möchten.

  3. Wählen Sie die Registerkarte Tags aus und schließen Sie eine der folgenden Aktionen ab:

    • Wählen Sie Add new tag (Neues Tag hinzufügen), wenn der Benutzer noch nicht über Tags verfügt.

    • Wählen Sie Manage tags (Tags verwalten), um den vorhandenen Satz von Tags zu verwalten.

  4. Fügen Sie Tags hinzu oder entfernen Sie sie, um den Satz von Tags abzuschließen. Wählen Sie dann Save changes (Änderungen speichern).

Verwalten von Tags auf IAM-Benutzer (AWS CLI- oder AWS-API)

Sie können Tags für IAM-Benutzer auflisten, anfügen oder entfernen. Sie können die AWS CLI- oder die AWS-API verwenden, um Tags für IAM-Benutzer zu verwalten.

So listen Sie die Tags auf, die derzeit an einen IAM-Benutzer angefügt sind (AWS CLI oder AWS-API)
So fügen Sie Tags einem IAM-Benutzer an (AWS CLI oder AWS-API)
So entfernen Sie Tags aus einem IAM-Benutzer (AWS CLI oder AWS-API)

Informationen über das Anfügen von Tags an Ressourcen für andere AWS-Services finden Sie in der Dokumentation für diese Services.

Weitere Informationen über die Verwendung von Tags, um präzisere Berechtigungen mit IAM-Berechtigungsrichtlinien festzulegen, finden Sie unter IAM-Richtlinienelemente: Variablen und Tags.