Etiquetado de un rol de IAM - AWS Identity and Access Management

Etiquetado de un rol de IAM

Puede utilizar pares clave-valor de etiquetas de IAM para agregar atributos personalizados atributo un rol de IAM. Por ejemplo, para agregar información de ubicación a un rol, puede agregar la clave de etiqueta location y el valor de etiqueta us_wa_seattle. O bien puede utilizar tres pares de clave-valor de ubicación independientes: loc-country = us, loc-state = wa y loc-city = seattle. Puede utilizar etiquetas para controlar el acceso de un rol a los recursos o para controlar qué etiquetas se pueden asociar a un rol. Para obtener más información sobre cómo utilizar etiquetas de para controlar el acceso, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.

También puede utilizar etiquetas en AWS STS para añadir atributos personalizados cuando asuma un rol o federe un usuario. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS .

Permisos necesarios para etiquetar roles de IAM

Debe configurar permisos para permitir que una entidad de IAM (usuario o rol) pueda etiquetar otras entidades (usuarios o roles). Puede especificar una o todas las acciones de etiqueta de IAM siguientes en una política de IAM:

  • iam:ListRoleTags

  • iam:TagRole

  • iam:UntagRole

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

Para permitir que un rol de IAM agregue, enumere o elimine una etiqueta para un usuario específico

Agregue la siguiente instrucción a la política de permisos del rol de IAM cuyas etiquetas deben ser administradas. Utilice el número de cuenta y reemplace <username> por el nombre del usuario que se debe administrar. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam::<account-number>:user/<username>" }

Para permitir a un rol de IAM agregar una etiqueta a un usuario específico

Agregue la siguiente instrucción a la política de permisos del rol de IAM que necesite agregar, pero no eliminar, etiquetas para un usuario específico.

nota

La acción iam:TagRole requiere que también incluya la acción iam:ListRoleTags.

Para utilizar esta política, reemplace <username> por el nombre del usuario cuyas etiquetas se deben administrar. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam::<account-number>:user/<username>" }

Para permitir a un rol de IAM agregar, enumerar o eliminar una etiqueta para un rol específico

Agregue la siguiente instrucción a la política de permisos del rol de IAM cuyas etiquetas deben ser administradas. Reemplace <rolename> por el nombre del rol que debe administrarse. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas en la pestaña JSON.

{ "Effect": "Allow", "Action": [ "iam:ListRoleTags", "iam:TagRole", "iam:UntagRole" ], "Resource": "arn:aws:iam::<account-number>:role/<rolename>" }

También puede utilizar una política administrada de AWS, como IAMFullAccess para proporcionar acceso completo a IAM.

Administrar etiquetas en roles de IAM (consola)

Puede administrar etiquetas para roles de IAM desde la AWS Management Console.

Para administrar etiquetas en roles (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola, elija Roles (Roles) y, a continuación, elija el nombre de la entidad que desea editar.

  3. Elija la pestaña Tags (Etiquetas) y, a continuación, realice una de las siguientes acciones:

    • Elija Add new tags (Agregar nuevas etiquetas) si el rol aún no tiene.

    • Elija Manage tags (Administrar etiquetas) para administrar el conjunto de etiquetas existente.

  4. Añada o elimine etiquetas para completar el conjunto de etiquetas. A continuación, elija Save changes (Guardar cambios).

Administrar etiquetas en roles de IAM (AWS CLI o API de AWS)

Puede enumerar, asociar o eliminar etiquetas para usuarios y roles de IAM. También puede utilizar la AWS CLI o la API de AWS para administrar etiquetas de roles de IAM.

Para obtener una lista de las etiquetas asociadas actualmente a un rol de IAM (AWS CLI o API de AWS)

Para asociar etiquetas a un rol de IAM (AWS CLI o API de AWS)

Para eliminar etiquetas de un rol de IAM (AWS CLI o API de AWS)

Para obtener información acerca de cómo asociar etiquetas a los recursos de otros servicios de AWS, consulte la documentación de dichos servicios.

Para obtener información sobre el uso de etiquetas para establecer permisos pormenorizados con políticas de permisos de IAM, consulte Elementos de la política de IAM: variables y etiquetas.