Etiquetado de políticas administradas por el cliente - AWS Identity and Access Management

Etiquetado de políticas administradas por el cliente

Puede utilizar pares clave-valor de etiqueta de IAM para agregar atributos personalizados a las políticas administradas por el cliente. Por ejemplo, para etiquetar una política con información del departamento, puede agregar la clave de etiqueta Department y el valor de la etiqueta eng. O bien, es posible que desee etiquetar políticas para indicar que son para un entorno específico, como por ejemplo Environment = lab. Puede utilizar etiquetas para controlar el acceso a los recursos o para controlar qué etiquetas se pueden asociar a un recurso. Para obtener más información sobre cómo utilizar etiquetas de para controlar el acceso, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.

También puede utilizar etiquetas en AWS STS para añadir atributos personalizados cuando asuma un rol o federe un usuario. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS .

Permisos necesarios para etiquetar políticas administradas por el cliente

Debe configurar permisos para permitir que una entidad de IAM (usuarios o roles) etiquete políticas administradas por el cliente. Puede especificar una o todas las acciones de etiqueta de IAM siguientes en una política de IAM:

  • iam:ListPolicyTags

  • iam:TagPolicy

  • iam:UntagPolicy

Para permitir que una entidad de IAM (usuario o rol) agregue, enumere o elimine una etiqueta para una política administrada por el cliente

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesita administrar etiquetas. Utilice su número de cuenta y reemplace <policyname> por el nombre de la política cuyas etiquetas deben administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy", "iam:UntagPolicy" ], "Resource": "arn:aws:iam::<account-number>:policy/<policyname>" }

Para permitir que una entidad de IAM (usuario o rol) agregue una etiqueta a una política específica administrada por el cliente

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite agregar, pero no eliminar, etiquetas para una política específica.

nota

La acción iam:TagPolicy requiere que también incluya la acción iam:ListPolicyTags.

Para utilizar esta política, reemplace <policyname> por el nombre de la política cuyas etiquetas deben administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy" ], "Resource": "arn:aws:iam::<account-number>:policy/<policyname>" }

También puede utilizar una política administrada de AWS, como IAMFullAccess para proporcionar acceso completo a IAM.

Administración de etiquetas en políticas de IAM administradas por el cliente (consola)

Puede administrar etiquetas para políticas de IAM administradas por el cliente desde la AWS Management Console.

Para administrar etiquetas en políticas administradas por el cliente (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola, elija Policies (Políticas) y, a continuación, elija el nombre de la política administrada por el cliente que desea editar.

  3. Elija la pestaña Tags (Etiquetas) y, a continuación, realice una de las siguientes acciones:

    • Elija Add tags (Agregar etiquetas) si la política aún no tiene etiquetas.

    • Elija Edit tags (Editar etiquetas) para administrar el conjunto existente de etiquetas.

  4. Añada o elimine etiquetas para completar el conjunto de etiquetas. A continuación, elija Save changes (Guardar cambios).

Administrar etiquetas en políticas de IAM administradas por el cliente (AWS CLI o API de AWS)

Puede enumerar, asociar o quitar etiquetas para políticas de IAM administradas por el cliente. Puede utilizar la AWS CLI o la API de AWS para administrar etiquetas para políticas de IAM administradas por el cliente.

Para enumerar las etiquetas actualmente asociadas a una política de IAM administrada por el cliente (AWS CLI o API de AWS)

Para asociar etiquetas a una política de IAM administrada por el cliente (AWS CLI o API de AWS)

Para quitar etiquetas de una política de IAM administrada por el cliente (AWS CLI o API de AWS)

Para obtener información acerca de cómo asociar etiquetas a los recursos de otros servicios de AWS, consulte la documentación de dichos servicios.

Para obtener información sobre el uso de etiquetas para establecer permisos pormenorizados con políticas de permisos de IAM, consulte Elementos de la política de IAM: variables y etiquetas.