Etiquetado de recursos de IAM - AWS Identity and Access Management
Elija una convención de nomenclatura de etiquetas de AWSReglas para etiquetar en IAM y AWS STS

Etiquetado de recursos de IAM

Una etiqueta es un atributo personalizado que puede asignar a un recurso de AWS. Cada etiqueta tiene dos partes:

  • Una clave de etiqueta (por ejemplo, CostCenter, Environment, Project o Purpose).

  • Un campo opcional que se denomina valor de etiqueta (por ejemplo, 111122223333 o Production o el nombre de un equipo). Omitir el valor de etiqueta es lo mismo que utilizar una cadena vacía.

En conjunto, se conocen como pares clave-valor. Para ver los límites de la cantidad de etiquetas que puede tener en los recursos de IAM, consulte IAM y cuotas de AWS STS.

nota

Para obtener más información sobre la distinción entre mayúsculas y minúsculas en las claves de etiqueta y los valores de las claves de etiqueta, consulte Case sensitivity.

Las etiquetas le ayudan a identificar y organizar los recursos de AWS. Muchos servicios de AWS admiten el etiquetado, por lo que puede asignar la misma etiqueta a los recursos de diferentes servicios para indicar que los recursos están relacionados. Por ejemplo, puede asignar la misma etiqueta a un rol de IAM que se asigna a un bucket de Amazon S3. Para obtener más información sobre estrategias de etiquetado, consulte la Guía del usuario del etiquetado de recursos de AWS.

Además de utilizar etiquetas para identificar, organizar y realizar el seguimiento de sus recursos de IAM, puede utilizarlas en las políticas de IAM para ayudar a controlar quién puede ver e interactuar con el recurso. Para obtener más información sobre cómo utilizar etiquetas de para controlar el acceso, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.

También puede utilizar etiquetas en AWS STS para añadir atributos personalizados cuando asuma un rol o federe un usuario. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS.

Elija una convención de nomenclatura de etiquetas de AWS

Cuando comience a asociar etiquetas a sus recursos de IAM, elija la convención de nomenclatura de etiquetas con cuidado. Aplique la misma convención para todas las etiquetas de AWS. Esto es especialmente importante si utiliza etiquetas en las políticas para controlar el acceso a recursos de AWS. Si ya utiliza etiquetas en AWS, revise la convención de nomenclatura y ajústela según corresponda.

nota

Si su cuenta es miembro de AWS Organizations, consulte Políticas de etiquetas en la guía del usuario de Organizaciones para obtener más información sobre el uso de etiquetas en Organizaciones.

Prácticas recomendadas para la denominación de etiquetas

Estas son algunas prácticas recomendadas y convenciones de nomenclatura para las etiquetas.

Asegúrese de que los nombres de las etiquetas se utilicen de forma coherente. Por ejemplo, las etiquetas CostCenter y costcenter son diferentes, por lo que una podría configurarse como etiqueta de asignación de costos para análisis e informes financieros y la otra podría no serlo. Del mismo modo, la etiqueta Name aparece en la consola de AWS para muchos recursos, pero no así la etiqueta name. Para obtener más información sobre la distinción entre mayúsculas y minúsculas en las claves de etiqueta y los valores de las claves de etiqueta, consulte Case sensitivity.

Varias etiquetas están predefinidas por AWS o son creadas automáticamente por varios servicios de AWS. Muchos de los nombres de las etiquetas definidas por AWS utilizan todas minúsculas, con guiones que separan las palabras del nombre y prefijos para identificar el servicio de origen de la etiqueta. Por ejemplo:

  • aws:ec2spot:fleet-request-id identifica la solicitud de instancia puntual de Amazon EC2 que lanzó la instancia.

  • aws:cloudformation:stack-name identifica la pila de AWS CloudFormation que creó el recurso.

  • elasticbeanstalk:environment-name identifica la aplicación que creó el recurso.

Considere la posibilidad de asignar nombres a las etiquetas que usen todas minúsculas, con guiones separando las palabras y un prefijo que identifique el nombre de la organización o el nombre abreviado. Por ejemplo, para una compañía ficticia llamada AnyCompany, puede definir etiquetas como:

  • anycompany:cost-center para identificar el código interno del centro de costes

  • anycompany:environment-type para identificar si el entorno es de desarrollo, prueba o producción

  • anycompany:application-id para identificar la aplicación para la que se creó el recurso

El prefijo garantiza que las etiquetas estén claramente identificadas como definidas por su organización y no por AWS o por una herramienta de terceros que usted pueda estar utilizando. Usar todas minúsculas con guiones para los separadores evita confusiones sobre cómo poner en mayúsculas el nombre de una etiqueta. Por ejemplo, anycompany:project-id es más fácil de recordar que ANYCOMPANY:ProjectID, anycompany:projectID o bien Anycompany:ProjectId.

Reglas para etiquetar en IAM y AWS STS

Una serie de convenciones rigen la creación y aplicación de etiquetas en IAM y AWS STS.

Asignación de nombres a etiquetas

Observe las siguientes convenciones al formular una convención de nomenclatura de etiquetas para recursos de IAM, sesiones de asumir rol de AWS STS y sesiones de usuarios federados de AWS STS:

Requisitos de caracteres: las claves y los valores de las etiquetas pueden incluir cualquier combinación de letras, números, espacios y los símbolos _ . : / = + - @.

Distinción de mayúsculas y minúsculas: la distinción de mayúsculas y minúsculas para las claves de etiqueta varía en función del tipo de recurso de IAM que se etiqueta. Los valores de clave de etiqueta para usuarios y roles de IAM no distinguen mayúsculas y minúsculas, pero se conservan. Esto significa que no puede haber claves de etiqueta Department y department separadas. Si ha etiquetado un usuario con la etiqueta Department=finance y añade la etiqueta department=hr, sustituye la primera etiqueta. No se ha añadido una segunda etiqueta.

Para otros tipos de recursos de IAM, los valores de clave de etiqueta distinguen mayúsculas y minúsculas. Eso significa que puede tener claves de etiquetas Costcenter y costcenter distintas. Por ejemplo, si ha etiquetado una política administrada por el cliente con la etiqueta Costcenter = 1234 y agrega la etiqueta costcenter = 5678, la política tendrá ambas claves de etiqueta, Costcenter y costcenter.

Como práctica recomendada, sugerimos que evite el uso de etiquetas similares con distinción de minúsculas y mayúsculas inconsistente. Le recomendamos que decida una estrategia de uso de mayúsculas y minúsculas en las etiquetas e implemente esa estrategia sistemáticamente en todos los tipos de recursos. Para obtener más información sobre las prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en Referencia general de AWS.

Las siguientes listas muestran las diferencias entre mayúsculas y minúsculas para las claves de etiqueta asociadas a los recursos de IAM.

Los valores de clave de etiqueta no distinguen mayúsculas y minúsculas:

  • Roles de IAM

  • Usuarios de IAM

Los valores de claves de etiqueta distinguen entre mayúsculas y minúsculas:

  • Políticas administradas por el cliente

  • Perfiles de instancias

  • Proveedores de identidad de OpenID Connect

  • Proveedores de identidad SAML

  • Certificados de servidor

  • Dispositivos MFA virtuales

Además, se aplican las siguientes reglas:

  • No puede crear una clave o valor de etiqueta que comience con el texto aws:. Este prefijo de etiqueta se reserva para uso interno de AWS.

  • Puede crear una etiqueta con un valor vacío como phoneNumber = . No se puede crear una clave de etiqueta vacía.

  • No puede especificar varios valores en una etiqueta única, pero puede crear una estructura personalizada con varios valores en el único valor. Por ejemplo, supongamos que el usuario Zhang trabaja en el equipo de ingeniería y el equipo de control de calidad. Si asocia la etiqueta team = Engineering y, a continuación, asocia la etiqueta team = QA, cambie el valor de la etiqueta de Engineering a QA. En su lugar, puede incluir varios valores en una única etiqueta con un separador personalizado. En este ejemplo, puede asociar la etiqueta de team = Engineering:QA a Zhang.

    nota

    Para controlar el acceso a los ingenieros, en este ejemplo se utilizará la etiqueta team, debe crear una política que permita que cada configuración pueda incluir Engineering, incluida Engineering:QA. Para obtener más información sobre el uso de etiquetas en políticas, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.

Aplicación y edición de etiquetas

Tenga en cuenta las siguientes convenciones al asociar etiquetas a los recursos de IAM:

  • Puede etiquetar la mayoría de los recursos de IAM, pero no grupos, roles asumidos, informes de acceso, dispositivos basados en hardware o dispositivos MFA.

  • No puede utilizar Tag Editor para etiquetar recursos de IAM. Tag Editor no es compatible con etiquetas de IAM. Para obtener más información acerca de cómo utilizar Tag Editor con otros servicios, consulte Working with Tag Editor (Uso de Tag Editor) en la Guía del usuario de AWS Resource Groups.

  • Para etiquetar un recurso de IAM, debe tener permisos específicos. Para etiquetar o desetiquetar recursos, también debe tener permiso para enumerar etiquetas. Para obtener más información, consulte la lista de temas de cada recurso de IAM al final de esta página.

  • El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS.

  • Puede aplicar la misma etiqueta a varios recursos de IAM. Por ejemplo, suponga que tiene un departamento denominado AWS_Development con 12 miembros. Puede tener 12 usuarios y un rol con la clave de etiqueta department y un valor de awsDevelopment (department = awsDevelopment). También puede utilizar la misma etiqueta en recursos de otros servicios que admiten etiquetado.

  • Las entidades de IAM (usuarios o roles) no pueden tener varias instancias de la misma clave de etiqueta. Por ejemplo, si tiene un usuario con el par de clave-valor de etiqueta costCenter = 1234, puede asociar el par de clave-valor de etiqueta a costCenter = 5678. IAM actualiza el valor de la etiqueta costCenter a 5678.

  • Para editar una etiqueta que se asocia a una entidad de IAM (usuario o rol), asocie una etiqueta a un nuevo valor para sobrescribir la etiqueta existente. Por ejemplo, supongamos que tiene un usuario con el par de clave-valor de etiqueta department = Engineering. Si necesita trasladar el usuario al departamento de control de calidad, puede asociar el par de clave-valor de etiqueta department = QA al usuario. El resultado es el valor Engineering de la clave de etiqueta department que se va a sustituir por el valor QA.

Temas