Etiquetado de recursos de IAM - AWS Identity and Access Management

Etiquetado de recursos de IAM

Una etiqueta es un atributo personalizado que puede asignar a un recurso de AWS. Cada etiqueta tiene dos partes:

  • Una clave de etiqueta (por ejemplo, CostCenter, Environment, Project o Purpose). Las claves de etiqueta distinguen entre mayúsculas y minúsculas.

  • Un campo opcional que se denomina valor de etiqueta (por ejemplo, 111122223333 o Production o el nombre de un equipo). Omitir el valor de etiqueta es lo mismo que usar una cadena vacía. Al igual que las claves de etiqueta, los valores de etiqueta distinguen entre mayúsculas y minúsculas.

En conjunto, se conocen como pares clave-valor. Para ver los límites del número de etiquetas que puede tener en los recursos de IAM, consulte IAM y cuotas STS.

Las etiquetas le ayudan a identificar y organizar los recursos de AWS. Muchos servicios de AWS admiten el etiquetado, por lo que puede asignar la misma etiqueta a los recursos de diferentes servicios para indicar que los recursos están relacionados. Por ejemplo, puede asignar la misma etiqueta a un rol de IAM que se asigna a un bucket de Amazon S3. Para obtener más información sobre estrategias de etiquetado, consulte Tagging AWS Resources (Etiquetado de recursos de AWS) en la Guía de AWS General Reference.

Además de utilizar etiquetas para identificar, organizar y realizar el seguimiento de sus recursos de IAM, puede utilizarlas en las políticas de IAM para ayudar a controlar quién puede ver e interactuar con el recurso. Para obtener más información sobre cómo usar etiquetas de para controlar el acceso, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.

También puede utilizar etiquetas en AWS STS para añadir atributos personalizados cuando asuma un rol o federe un usuario. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS.

Elija una convención de nomenclatura de etiquetas de AWS

Cuando comience a asociar etiquetas a sus recursos de IAM, elija la convención de nomenclatura de etiquetas con cuidado. Aplique la misma convención para todas las etiquetas de AWS. Esto es especialmente importante si utiliza etiquetas en las políticas para controlar el acceso a recursos de AWS. Si ya utiliza etiquetas en AWS, revise la convención de nomenclatura y ajústela según corresponda. Para ver los casos de uso y las prácticas recomendadas de etiquetado, descargue el documento técnico Prácticas recomendadas de etiquetado.

Reglas para etiquetar en IAM y AWS STS

Una serie de convenciones rigen la creación y aplicación de etiquetas en IAM y AWS STS.

Asignación de nombres a etiquetas

Observe las siguientes convenciones al formular una convención de nomenclatura de etiquetas para recursos de IAM, sesiones de asumir rol de AWS STS y sesiones de usuarios federados de AWS STS:

Requisitos de caracteres – Las claves y los valores de las etiquetas puede incluir cualquier combinación de letras, números, espacios y los símbolos _ . : / = + - @ . .

Sensibilidad de mayúsculas y minúsculas – La sensibilidad de mayúsculas y minúsculas para las claves de etiqueta varía en función del tipo de recurso de IAM que se etiqueta. Los valores de clave de etiqueta para IAM usuarios y roles no distinguen mayúsculas y minúsculas, pero se conservan. Esto significa que no puede haber claves de etiqueta Department y department separadas. Si ha etiquetado un usuario con la etiqueta Department=foo y añade la etiqueta department=bar, sustituye la primera etiqueta. No se ha añadido una segunda etiqueta.

Para otros tipos de recursos de IAM, los valores de clave de etiqueta distinguen mayúsculas y minúsculas. Eso significa que puede tener claves de etiquetas separadas Costcenter y costcenter. Por ejemplo, si ha etiquetado una política administrada por el cliente con la etiqueta Costcenter = 1234 y agrega la etiqueta costcenter = 5678, la política tendrá las claves de etiqueta Costcenter y costcenter.

Como práctica recomendada, le recomendamos que evite el uso de etiquetas similares con un tratamiento de casos inconsistente. Le recomendamos que decida una estrategia de uso de mayúsculas y minúsculas en las etiquetas e implemente esa estrategia sistemáticamente en todos los tipos de recursos. Para obtener más información sobre las prácticas recomendadas para el etiquetado, consulte Tagging AWS Resources (Etiquetado de recursos de AWS) en AWS General Reference.

Las siguientes listas muestran las diferencias entre mayúsculas y minúsculas para las claves de etiqueta adjuntas a los recursos de IAM.

Los valores de clave de la etiqueta no distinguen mayúsculas y minúsculas:

  • Roles de IAM

  • Usuarios de IAM

Los valores de claves de etiquetas distinguen entre mayúsculas y minúsculas:

  • Políticas administradas por el cliente

  • Perfiles de instancias

  • Proveedores de identidad de OpenID Connect

  • Proveedores de identidad SAML

  • Certificados de servidor

  • Dispositivos MFA virtuales

Además, se aplican las siguientes reglas:

  • No puede crear una clave o valor de etiqueta que comience con el texto aws:. Este prefijo de etiqueta se reserva para uso interno de AWS.

  • Puede crear una etiqueta con un valor vacío como phoneNumber = . No se puede crear una clave de etiqueta vacía.

  • No puede especificar varios valores en una etiqueta única, pero puede crear una estructura personalizada con varios valores en el único valor. Por ejemplo, supongamos que el usuario Zhang trabaja en el equipo de ingeniería y el equipo de control de calidad. Si asocia la etiqueta team = Engineering y, a continuación, asocia la etiqueta team = QA, cambie el valor de la etiqueta de Engineering a QA. En su lugar, puede incluir varios valores en una única etiqueta con un separador personalizado. En este ejemplo, puede asociar la etiqueta de team = Engineering:QA a Zhang.

    nota

    Para controlar el acceso a los ingenieros, en este ejemplo se utilizará la etiqueta team, debe crear una política que permita que cada configuración pueda incluir Engineering, incluida Engineering:QA. Para obtener más información sobre el uso de etiquetas en políticas, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.

Aplicación y edición de etiquetas

Tenga en cuenta las siguientes convenciones al adjuntar etiquetas a los recursos de IAM:

  • Puede etiquetar la mayoría de los recursos de IAM, pero no grupos, roles asumidos, informes de acceso, dispositivos basados en hardware o SMS MFA.

  • No puede utilizar Tag Editor para etiquetar recursos de IAM. Tag Editor no es compatible con etiquetas de IAM. Para obtener más información acerca de cómo utilizar Tag Editor con otros servicios, consulte Working with Tag Editor (Uso de Tag Editor) en la Guía del usuario de AWS Resource Groups.

  • Para etiquetar un recurso de IAM, debe tener permisos específicos. Para etiquetar o desetiquetar recursos, también debe tener permiso para enumerar etiquetas. Para obtener más información, consulte la lista de temas de cada recurso de IAM al final de esta página.

  • El número y el tamaño de los recursos de IAM de una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas STS.

  • Puede aplicar la misma etiqueta a varios recursos de IAM. Por ejemplo, suponga que tiene un departamento denominado AWS_Development con 12 miembros. Puede tener 12 usuarios y un rol con la clave de etiqueta department y un valor de awsDevelopment (department = awsDevelopment). También puede utilizar la misma etiqueta en recursos de otros servicios que admiten etiquetado.

  • Las entidades de IAM (usuarios o roles) no pueden tener varias instancias de la misma clave de etiqueta. Por ejemplo, si tiene un usuario con el par de clave-valor de etiqueta costCenter = 1234, puede asociar el par de clave-valor de etiqueta costCenter = 5678. IAM actualiza el valor de las etiqueta costCenter a 5678.

  • Para editar una etiqueta que se asocia a una entidad de IAM (usuario o rol), adjunte una etiqueta con un nuevo valor para sobrescribir la etiqueta existente. Por ejemplo, supongamos que tiene un usuario con el par de clave-valor de etiqueta department = Engineering. Si necesita trasladar el usuario al departamento de control de calidad, puede asociar el par de clave-valor de etiqueta department = QA al usuario. El resultado es el valor Engineering de la clave de etiqueta department que se va a sustituir por el valor QA.