Etiquetado de perfiles de instancia para roles de Amazon EC2 - AWS Identity and Access Management
Permisos necesarios para etiquetar perfiles de instanciaAdministrar etiquetas en perfiles de instancia (AWS CLI o API de AWS)

Etiquetado de perfiles de instancia para roles de Amazon EC2

Cuando lanza una instancia de Amazon EC2, usted especifica un rol de IAM que se asocia a la instancia. Un perfil de instancia es un contenedor de una función de IAM que se puede utilizar para transferir información de la función a una instancia Amazon EC2 cuando la instancia se inicia. Puede etiquetar perfiles de instancia cuando utiliza la AWS CLI o la API de AWS.

Puede utilizar pares clave-valor de etiquetas de IAM para agregar atributos personalizados a un perfil de instancias. Por ejemplo, para agregar información de departamento a un perfil de instancia, puede agregar la clave de etiqueta access-team y el valor de etiqueta eng. Al hacer esto, las entidades principales con etiquetas coincidentes tienen acceso a perfiles de instancia con la misma etiqueta. Puede utilizar varios pares clave-valor de etiquetas para especificar un equipo y un proyecto: access-team = eng y project = peg. Puede utilizar etiquetas para controlar el acceso de los usuarios a los recursos o para controlar qué etiquetas se pueden asociar a un usuario. Para obtener más información sobre cómo utilizar etiquetas de para controlar el acceso, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.

También puede utilizar etiquetas en AWS STS para añadir atributos personalizados cuando asuma un rol o federe un usuario. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS.

Permisos necesarios para etiquetar perfiles de instancia

Debe configurar permisos para permitir que una entidad de IAM (usuario o rol) pueda etiquetar otros perfiles de instancia. Puede especificar una o todas las acciones de etiqueta de IAM siguientes en una política de IAM:

  • iam:ListInstanceProfileTags

  • iam:TagInstanceProfile

  • iam:UntagInstanceProfile

Para permitir que una entidad de IAM (usuario o rol) agregue, enumere o elimine una etiqueta para un perfil de instancias

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesita administrar etiquetas. Utilice su número de cuenta y reemplace <InstanceProfileName> por el nombre del perfil de instancia cuyas etiquetas deben administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas mediante el editor JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListInstanceProfileTags",
        "iam:TagInstanceProfile",
        "iam:UntagInstanceProfile"
    ],
    "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>"
}
Para permitir que una entidad de IAM (usuario o rol) agregue una etiqueta a un perfil de instancias específico

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite agregar, pero no eliminar, etiquetas para un perfil de instancias específico.

nota

La acción iam:TagInstanceProfile requiere que también incluya la acción iam:ListInstanceProfileTags.

Para utilizar esta política, reemplace <InstanceProfileName> por el nombre del perfil de instancia cuyas etiquetas deben administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas mediante el editor JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListInstanceProfileTags",
        "iam:TagInstanceProfile"
    ],
    "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>"
}

También puede utilizar una política administrada de AWS, como IAMFullAccess para proporcionar acceso completo a IAM.

Administrar etiquetas en perfiles de instancia (AWS CLI o API de AWS)

Puede enumerar, asociar o quitar etiquetas para perfiles de instancia. También puede utilizar la AWS CLI o la API de AWS para administrar etiquetas de perfiles de instancia.

Para obtener una lista de las etiquetas asociadas actualmente a un perfil de instancia (AWS CLI o API de AWS)
Para asociar etiquetas a un perfil de instancia (AWS CLI o API de AWS)
Para quitar etiquetas de un perfil de instancia (AWS CLI o API de AWS)

Para obtener información acerca de cómo asociar etiquetas a los recursos de otros servicios de AWS, consulte la documentación de dichos servicios.

Para obtener información sobre el uso de etiquetas para establecer permisos pormenorizados con políticas de permisos de IAM, consulte Elementos de la política de IAM: variables y etiquetas.