Etiquetado de proveedores de identidad SAML de IAM - AWS Identity and Access Management

Etiquetado de proveedores de identidad SAML de IAM

Puede usar pares clave-valor de etiquetas de IAM para agregar atributos personalizados a proveedores de identidad SAML. Por ejemplo, para identificar un proveedor, puede agregar la clave de etiqueta okta y el valor de la etiqueta saml. Puede usar etiquetas para controlar el acceso a los recursos o para controlar qué etiquetas se pueden asociar a un objeto. Para obtener más información sobre cómo usar etiquetas de para controlar el acceso, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.

Permisos necesarios para etiquetar proveedores de identidad SAML

Debe configurar permisos para permitir que una entidad de IAM (usuarios o roles) pueda etiquetar proveedores de identidad (IdP) basados en SAML 2.0. Puede especificar una o todas las acciones de etiqueta de IAM siguientes en una política de IAM:

  • iam:ListSAMLProviderTags

  • iam:TagSAMLProvider

  • iam:UntagSAMLProvider

Para permitir que una entidad de IAM (usuario o rol) agregue, enumere o elimine una etiqueta para un proveedor de identidad SAML

Añada la siguiente instrucción a la política de permisos de la entidad de IAM que necesita administrar etiquetas. Utilice su número de cuenta y reemplace <SAMLProviderName> por el nombre del proveedor SAML cuyas etiquetas deben administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListSAMLProviderTags", "iam:TagSAMLProvider", "iam:UntagSAMLProvider" ], "Resource": "arn:aws:iam:*:<account-number>:saml-provider/<SAMLProviderName>" }

Para permitir que una entidad de IAM (usuario o rol) agregue una etiqueta a un proveedor de identidad SAML específico

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite agregar, pero no eliminar, etiquetas para un usuario específico.

nota

La acción iam:TagSAMLProvider requiere que también incluya la acción iam:ListSAMLProviderTags.

Para utilizar esta política, reemplace <SAMLProviderName> por el nombre del proveedor SAML cuyas etiquetas deben administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListSAMLProviderTags", "iam:TagSAMLProvider" ], "Resource": "arn:aws:iam:*:<account-number>:saml-provider/<SAMLProviderName>" }

También puede usar una política administrada de AWS, como IAMFullAccess para proporcionar acceso completo a IAM.

Administrar etiquetas en proveedores de identidad SAML de IAM (consola)

Puede administrar etiquetas para proveedores de identidad SAML de IAM desde la Consola de administración de AWS.

nota

Solo puede administrar etiquetas a través de la nueva experiencia de consola de proveedores de identidad.

Para administrar etiquetas en proveedores de identidad SAML (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Identity providers (Proveedores de identidad) y, a continuación, elija el nombre del proveedor de identidad SAML que desea actualizar.

  3. En la sección Tags (Etiquetas), elija Manage tags (Administrar etiquetas) y, a continuación, complete una de las siguientes acciones:

    • Elija Add tag (Agregar etiqueta) si el proveedor de identidad SAML aún no tiene etiquetas o para agregar una nueva etiqueta.

    • Edite las claves y los valores de etiqueta existentes.

    • Elija Remove tag (Eliminar etiqueta) para eliminar una etiqueta.

  4. Añada o elimine etiquetas para completar el conjunto de etiquetas. A continuación, elija Save changes (Guardar cambios).

Administrar etiquetas en proveedores de identidad SAML de IAM (AWS CLI o API de AWS)

Puede enumerar, asociar o quitar etiquetas para proveedores de identidad SAML de IAM. Puede utilizar la AWS CLI o la API de AWS para administrar etiquetas para proveedores de identidad SAML de IAM.

Para enumerar las etiquetas actualmente asociadas a un proveedor de identidad SAML (AWS CLI o API de AWS)

Para adjuntar etiquetas a un proveedor de identidades SAML (AWS CLI o API de AWS)

Para quitar etiquetas de un proveedor de identidad SAML (AWS CLI o API de AWS)

Para obtener información acerca de cómo asociar etiquetas a los recursos de otros servicios de AWS, consulte la documentación de dichos servicios.

Para obtener información sobre el uso de etiquetas para establecer permisos granulares con políticas de permisos de IAM, consulte Elementos de la política de IAM: variables y etiquetas.