Etiquetado de usuarios de IAM - AWS Identity and Access Management

Etiquetado de usuarios de IAM

Puede utilizar pares clave-valor de etiquetas de IAM para agregar atributos personalizados a un usuario de IAM. Por ejemplo, para añadir información de ubicación a un usuario, puede agregar la clave de etiqueta location y el valor de etiqueta us_wa_seattle. O bien puede utilizar tres pares de clave-valor de ubicación independientes: loc-country = us, loc-state = wa y loc-city = seattle. Puede utilizar etiquetas para controlar el acceso de los usuarios a los recursos o para controlar qué etiquetas se pueden asociar a un usuario. Para obtener más información sobre cómo utilizar etiquetas de para controlar el acceso, consulte Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas.

También puede utilizar etiquetas en AWS STS para añadir atributos personalizados cuando asuma un rol o federe un usuario. Para obtener más información, consulte Transferencia de etiquetas de sesión en AWS STS.

Permisos necesarios para etiquetar usuarios de IAM

Debe configurar permisos para permitir que un usuario de IAM pueda etiquetar a otros usuarios. Puede especificar una o todas las acciones de etiqueta de IAM siguientes en una política de IAM:

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

Para permitir a un usuario de IAM agregar, enumerar o eliminar una etiqueta para un usuario específico

Agregue la siguiente instrucción a la política de permisos del usuario de IAM que necesita administrar etiquetas. Utilice el número de cuenta y reemplace <username> por el nombre del usuario que se debe administrar. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas mediante el editor JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam::<account-number>:user/<username>" }
Para permitir a un usuario de IAM administrar las etiquetas

Añada la siguiente instrucción a la política de permisos de los usuarios para permitir a los usuarios administrar sus propias etiquetas. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas mediante el editor JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam::user/${aws:username}" }
Para permitir a un usuario de IAM agregar una etiqueta a un usuario específico

Agregue la siguiente instrucción a la política de permisos del usuario de IAM que necesite agregar, pero no eliminar, etiquetas para un usuario específico.

nota

La acción iam:TagUser requiere que también incluya la acción iam:ListUserTags.

Para utilizar esta política, reemplace <username> por el nombre del usuario cuyas etiquetas se deben administrar. Para obtener información sobre cómo crear una política mediante este documento de política JSON de ejemplo, consulte Creación de políticas mediante el editor JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam::<account-number>:user/<username>" }

También puede utilizar una política administrada de AWS, como IAMFullAccess para proporcionar acceso completo a IAM.

Administración de etiquetas en usuarios de IAM (consola)

Puede administrar etiquetas para usuarios de IAM desde la AWS Management Console.

Para administrar etiquetas en usuarios (consola)
  1. Inicie sesión en AWS Management Console Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola, elija Roles (Roles) y, a continuación, elija el nombre del usuario que desea editar.

  3. Elija la pestaña Tags (Etiquetas) y, a continuación, realice una de las siguientes acciones:

    • Elija Agregar etiqueta nueva si el usuario aún no tiene etiquetas.

    • Elija Manage tags (Administrar etiquetas) para administrar el conjunto de etiquetas existente.

  4. Añada o elimine etiquetas para completar el conjunto de etiquetas. A continuación, elija Guardar cambios.

Administrar etiquetas en usuarios de IAM (AWS CLI o API de AWS)

Puede enumerar, asociar o quitar etiquetas para los usuarios de IAM. También puede utilizar la AWS CLI o la API de AWS para administrar etiquetas de usuarios de IAM.

Para obtener una lista de las etiquetas asociadas actualmente a un usuario de IAM (AWS CLI o API de AWS)
Para asociar etiquetas a un usuario de IAM (AWS CLI o API de AWS)
Para eliminar etiquetas de un usuario de IAM (AWS CLI o API de AWS)

Para obtener información acerca de cómo asociar etiquetas a los recursos de otros servicios de AWS, consulte la documentación de dichos servicios.

Para obtener información sobre el uso de etiquetas para establecer permisos pormenorizados con políticas de permisos de IAM, consulte Elementos de la política de IAM: variables y etiquetas.