Etiquetado de usuarios y roles de IAM - AWS Identity and Access Management

Etiquetado de usuarios y roles de IAM

Puede utilizar etiquetas de IAM para añadir atributos personalizados a una entidad de IAM (usuario o rol) usando un par de clave–valor de etiqueta. Por ejemplo, para añadir información de ubicación a un usuario, puede agregar la clave de etiqueta location y el valor de etiqueta us_wa_seattle. O bien puede utilizar tres pares de clave–valor de ubicación independientes: loc-country = us, loc-state = wa y loc-city = seattle. Puede usar etiquetas para controlar el acceso de una entidad a los recursos o para controlar qué etiquetas se pueden asociar a una entidad. Para obtener más información sobre cómo usar etiquetas de para controlar el acceso, consulte Control del acceso a y para usuarios y roles de IAM mediante etiquetas de recursos de IAM.

También puede utilizar etiquetas en AWS STS para añadir atributos personalizados cuando asuma un rol o federe un usuario. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS.

Elija una convención de nomenclatura de etiquetas de AWS

Cuando comience a asociar etiquetas a usuarios y roles de IAM, elija la convención de nomenclatura de etiquetas con cuidado. Aplique la misma convención para todas las etiquetas de AWS. Esto es especialmente importante si utiliza etiquetas en las políticas para controlar el acceso a recursos de AWS. Si ya utiliza etiquetas en AWS, revise la convención de nomenclatura y ajústela según corresponda. Para obtener más información sobre el etiquetado de categorías y estrategias, consulte Etiquetado de AWS de recursos de AWS en la Guía de AWS General Reference. Para ver los casos de uso y las prácticas recomendadas de etiquetado, descargue el documento técnico Prácticas recomendadas de etiquetado.

Reglas para etiquetar en IAM y AWS STS

Una serie de convenciones rigen la creación y aplicación de etiquetas en IAM y AWS STS.

Asignación de nombres a etiquetas

Observe las siguientes convenciones al formular una convención de nomenclatura de etiquetas para usuarios de IAM, roles de IAM, sesiones de asumir rol de AWS STS y sesiones de usuarios federados de AWS STS:

  • Las claves y los valores de las etiquetas puede incluir cualquier combinación de letras, números, espacios y los símbolos _ . : / = + - @ . .

  • Los pares de clave–valor de etiquetas no distinguen entre mayúsculas y minúsculas, pero el uso de mayúsculas y minúsculas se conserva. Esto significa que no puede haber claves de etiqueta Department y department separadas. Si ha etiquetado un usuario con la etiqueta Department=foo y añade la etiqueta department=bar, sustituye la primera etiqueta. No se ha añadido una segunda etiqueta.

  • No puede crear una clave o valor de etiqueta que comience con el texto aws:. Este prefijo de etiqueta se reserva para uso interno de AWS.

  • Puede crear una etiqueta con un valor vacío como phoneNumber = . No se puede crear una clave de etiqueta vacía.

  • No puede especificar varios valores en una etiqueta única, pero puede crear una estructura personalizada con varios valores en el único valor. Por ejemplo, supongamos que el usuario Zhang trabaja en el equipo de ingeniería y el equipo de control de calidad. Si asocia la etiqueta team = Engineering y, a continuación, asocia la etiqueta team = QA, cambie el valor de la etiqueta de Engineering a QA. En su lugar, puede incluir varios valores en una única etiqueta con un separador personalizado. En este ejemplo, puede asociar la etiqueta de team = Engineering:QA a Zhang.

    nota

    Para controlar el acceso a los ingenieros, en este ejemplo se utilizará la etiqueta team, debe crear una política que permita que cada configuración pueda incluir Engineering, incluida Engineering:QA. Para obtener más información sobre el uso de etiquetas en políticas, consulte Control del acceso a y para usuarios y roles de IAM mediante etiquetas de recursos de IAM.

Aplicación y edición de etiquetas

Tenga en cuenta las siguientes convenciones al asociar etiquetas a entidades (usuarios o roles) de IAM:

  • Puede etiquetar usuarios o roles pero no grupos ni políticas.

  • No puede utilizar Tag Editor para etiquetar entidades de IAM. Tag Editor no es compatible con etiquetas de IAM. Para obtener más información acerca de cómo utilizar Tag Editor con otros servicios, consulte Uso de Tag Editor en la Guía del usuario de Consola de administración de AWS.

  • Para etiquetar una entidad de IAM, debe tener permisos específicos. Para etiquetar o desetiquetar roles y usuarios, también debe tener permiso para listar etiquetas. Para obtener más información, consulte Permisos necesarios para etiquetar entidades de IAM a continuación.

  • El número y el tamaño de los recursos de IAM de una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas STS.

  • Puede aplicar la misma etiqueta a varias entidades de IAM. Por ejemplo, suponga que tiene un departamento denominado AWS_Development con 12 miembros. Puede tener 12 usuarios y un rol con la clave de etiqueta department y un valor de awsDevelopment (department = awsDevelopment). También puede utilizar la misma etiqueta en recursos de otros servicios que admiten etiquetado.

  • Una entidad de IAM no puede tener varias instancias de la misma clave de etiqueta. Por ejemplo, si tiene un usuario con el par de clave–valor costCenter = 1234, puede asociar el par de clave–valor de etiqueta costCenter = 5678. IAM actualiza el valor de la etiqueta costCenter a 5678.

  • Para editar una etiqueta que se asocia a un usuario o rol de IAM, asocie una etiqueta con un nuevo valor para sobrescribir la etiqueta existente. Por ejemplo, supongamos que tiene un usuario con el par de clave–valor de etiqueta department = Engineering. Si necesita trasladar el usuario al departamento de control de calidad, puede asociar el par de clave–valor de etiqueta department = QA al usuario. El resultado es el valor Engineering de la clave de etiqueta department que se va a sustituir por el valor QA.

Permisos necesarios para etiquetar entidades de IAM

Debe configurar permisos para permitir que una entidad de IAM (usuario o rol) pueda etiquetar otras entidades. Puede especificar una o todas las acciones de etiqueta de IAM siguientes en una política de IAM:

  • iam:ListRoleTags

  • iam:ListUserTags

  • iam:TagRole

  • iam:TagUser

  • iam:UntagRole

  • iam:UntagUser

Para permitir a una entidad de IAM añadir, listar o eliminar una etiqueta para un usuario específico

Añada la siguiente instrucción a la política de permisos de la entidad de IAM que necesita administrar etiquetas. Utilice el número de cuenta y sustituya <username> por el nombre del usuario que se debe administrar. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

Para permitir a un usuario de IAM administrar las etiquetas

Añada la siguiente instrucción a la política de permisos de los usuarios para permitir a los usuarios administrar sus propias etiquetas. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:user/${aws:username}" }

Para permitir a una entidad de IAM añadir una etiqueta a un usuario específico

Añada la siguiente instrucción a la política de permisos de la entidad de IAM que necesite añadir, pero no eliminar etiquetas para un usuario específico.

nota

Las acciones iam:AddUserTags y iam:AddRoleTags requieren incluir también las acciones iam:ListUserTags e iam:ListRoleTags.

Para utilizar esta política, sustituya <username> por el nombre del usuario que se debe administrar. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

Para permitir a una entidad de IAM añadir, listar o eliminar una etiqueta para un rol específico

Añada la siguiente instrucción a la política de permisos de la entidad de IAM que necesita administrar etiquetas. Reemplace <rolename> por el nombre del rol que debe administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListRoleTags", "iam:TagRole", "iam:UntagRole" ], "Resource": "arn:aws:iam:*:<account-number>:role/<rolename>" }

También puede usar una política administrada de AWS, como IAMFullAccess para proporcionar acceso completo a IAM.

Administración de etiquetas en entidades de IAM (consola)

Puede administrar etiquetas para usuarios o roles de IAM desde la Consola de administración de AWS.

Para administrar etiquetas en usuarios o roles (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola, elija Roles o Users (Usuarios) y, a continuación, elija el nombre de la entidad que desea editar.

  3. Elija la pestaña Tags (Etiquetas) y, a continuación, realice una de las siguientes acciones:

    • Elija Add tags (Añadir etiquetas) si la entidad aún no tiene etiquetas.

    • Elija Edit tags (Editar etiquetas) para administrar el conjunto existente de etiquetas.

  4. Añada o elimine etiquetas para completar el conjunto de etiquetas. A continuación, elija Save changes (Guardar cambios).

Administración de etiquetas en entidades de IAM (AWS CLI o API de AWS)

Puede listar, asociar o eliminar etiquetas para usuarios y roles de IAM. También puede utilizar la AWS CLI o la API de AWS para administrar etiquetas de usuarios y roles de IAM.

Para obtener una lista de las etiquetas asociadas actualmente a un rol de IAM (AWS CLI o API de AWS)

Para obtener una lista de las etiquetas asociadas actualmente a un usuario de IAM (AWS CLI o API de AWS)

Para asociar etiquetas a un rol de IAM (AWS CLI o API de AWS)

Para asociar etiquetas a un usuario de IAM (AWS CLI o API de AWS)

Para eliminar etiquetas de un rol de IAM (AWS CLI o API de AWS)

Para eliminar etiquetas de un usuario de IAM (AWS CLI o API de AWS)

Para obtener información acerca de cómo asociar etiquetas a los recursos de otros servicios de AWS, consulte la documentación de dichos servicios.

Para obtener información sobre el uso de etiquetas para establecer permisos granulares con políticas de permisos de IAM, consulte Elementos de la política de IAM: variables y etiquetas.