Etiquetado de proveedores de identidad SAML de IAM
Puede utilizar pares clave-valor de etiquetas de IAM para agregar atributos personalizados a proveedores de identidad SAML. Por ejemplo, para identificar un proveedor, puede agregar la clave de etiqueta okta
y el valor de la etiqueta saml
. Puede utilizar etiquetas para controlar el acceso a los recursos o para controlar qué etiquetas se pueden asociar a un objeto. Para obtener más información sobre cómo utilizar etiquetas de para controlar el acceso, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.
Permisos necesarios para etiquetar proveedores de identidad SAML
Debe configurar permisos para permitir que una entidad de IAM (usuarios o roles) pueda etiquetar proveedores de identidad (IdP) basados en SAML 2.0. Puede especificar una o todas las acciones de etiqueta de IAM siguientes en una política de IAM:
-
iam:ListSAMLProviderTags
-
iam:TagSAMLProvider
-
iam:UntagSAMLProvider
Para permitir que una entidad de IAM (usuario o rol) agregue, enumere o elimine una etiqueta para un proveedor de identidad SAML
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesita administrar etiquetas. Utilice su número de cuenta y reemplace <SAMLProviderName>
por el nombre del proveedor SAML cuyas etiquetas deben administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas mediante el editor JSON.
{ "Effect": "Allow", "Action": [ "iam:ListSAMLProviderTags", "iam:TagSAMLProvider", "iam:UntagSAMLProvider" ], "Resource": "arn:aws:iam::
<account-number>
:saml-provider/<SAMLProviderName>
" }
Para permitir que una entidad de IAM (usuario o rol) agregue una etiqueta a un proveedor de identidad SAML específico
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite agregar, pero no eliminar, etiquetas para un usuario específico.
nota
La acción iam:TagSAMLProvider
requiere que también incluya la acción iam:ListSAMLProviderTags
.
Para utilizar esta política, reemplace <SAMLProviderName>
por el nombre del proveedor SAML cuyas etiquetas deben administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas mediante el editor JSON.
{ "Effect": "Allow", "Action": [ "iam:ListSAMLProviderTags", "iam:TagSAMLProvider" ], "Resource": "arn:aws:iam::
<account-number>
:saml-provider/<SAMLProviderName>
" }
También puede utilizar una política administrada de AWS, como IAMFullAccess
Administrar etiquetas en proveedores de identidad SAML de IAM (consola)
Puede administrar etiquetas para proveedores de identidad SAML de IAM desde la AWS Management Console.
nota
Solo puede administrar etiquetas a través de la nueva experiencia de consola de proveedores de identidad.
Para administrar etiquetas en proveedores de identidad SAML (consola)
Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación, elija Identity providers (Proveedores de identidad) y, a continuación, elija el nombre del proveedor de identidad SAML que desea actualizar.
-
En la sección Tags (Etiquetas), elija Manage tags (Administrar etiquetas) y, a continuación, complete una de las siguientes acciones:
-
Elija Add tag (Agregar etiqueta) si el proveedor de identidad SAML aún no tiene etiquetas o para agregar una nueva etiqueta.
-
Edite las claves y los valores de etiqueta existentes.
-
Elija Remove tag (Eliminar etiqueta) para eliminar una etiqueta.
-
-
Añada o elimine etiquetas para completar el conjunto de etiquetas. A continuación, elija Save changes (Guardar cambios).
Administrar etiquetas en proveedores de identidad SAML de IAM (AWS CLI o API de AWS)
Puede enumerar, asociar o quitar etiquetas para proveedores de identidad SAML de IAM. Puede utilizar la AWS CLI o la API de AWS para administrar etiquetas para proveedores de identidad SAML de IAM.
Para enumerar las etiquetas actualmente asociadas a un proveedor de identidad SAML (AWS CLI o API de AWS)
-
AWS CLI: aws iam list-saml-provider-tags
-
API de AWS: ListSamlProviderTags
Para adjuntar etiquetas a un proveedor de identidades SAML (AWS CLI o API de AWS)
-
AWS CLI: aws iam tag-saml-provider
-
API de AWS: TagSamlProvider
Para quitar etiquetas de un proveedor de identidad SAML (AWS CLI o API de AWS)
-
AWS CLI: aws iam untag-saml-provider
-
API de AWS: UntagsAMLProvider
Para obtener información acerca de cómo asociar etiquetas a los recursos de otros servicios de AWS, consulte la documentación de dichos servicios.
Para obtener información sobre el uso de etiquetas para establecer permisos pormenorizados con políticas de permisos de IAM, consulte Elementos de la política de IAM: variables y etiquetas.