Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Tags pour les AWS Identity and Access Management ressources
Une balise est un attribut personnalisé que vous pouvez attribue à une ressource AWS . Chaque balise se compose de deux parties :
-
Une clé de balise (par exemple,
CostCenter
,Environment
,Project
ouPurpose
). -
Un champ facultatif appelé valeur de balise (par exemple,
111122223333
,Production
ou le nom d’une équipe). Omettre la valeur de balise équivaut à l’utilisation d’une chaîne vide.
Ensemble, ces éléments sont connus sous le nom de paires clé-valeur. Pour connaître les limites du nombre de balises que vous pouvez avoir sur les IAM ressources, consultezIAMet AWS STS quotas.
Note
Pour plus d'informations sur la sensibilité à la casse des clés de balises et les valeurs de clés de balises, consultez Case sensitivity (français non garanti).
Les balises vous aident à identifier et à organiser vos AWS ressources. De nombreux AWS services prennent en charge le balisage. Vous pouvez donc attribuer le même tag aux ressources de différents services pour indiquer que les ressources sont liées. Par exemple, vous pouvez attribuer la même balise à un IAM rôle que vous attribuez à un compartiment Amazon S3. Pour plus d'informations sur les stratégies de balisage, consultez le Guide de l'utilisateur AWS des ressources de balisage.
Outre l'identification, l'organisation et le suivi de vos IAM ressources à l'aide de balises, vous pouvez utiliser des balises dans IAM les politiques pour contrôler qui peut consulter vos ressources et interagir avec elles. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.
Vous pouvez également utiliser des balises AWS STS pour ajouter des attributs personnalisés lorsque vous assumez un rôle ou que vous fédérez un utilisateur. Pour de plus amples informations, veuillez consulter Transmettez les tags de session AWS STS.
Rubriques
- Choisissez une convention de dénomination des AWS balises
- Règles relatives au balisage et IAM AWS STS
- Marquer IAM les utilisateurs
- Étiqueter IAM les rôles
- Marquer les politiques gérées par le client
- Tag : fournisseurs d'identité OpenID Connect (OIDC)
- Marquer les fournisseurs IAM SAML d'identité
- Marquer les profils d'instance pour les EC2 rôles Amazon
- Certificats de serveurs de balises
- Marquer les MFA appareils virtuels
- Transmettez les tags de session AWS STS
Choisissez une convention de dénomination des AWS balises
Lorsque vous commencez à associer des balises à vos IAM ressources, choisissez soigneusement votre convention de dénomination des balises. Appliquez la même convention à tous vos AWS tags. Cela est particulièrement important si vous utilisez des balises dans les politiques pour contrôler l'accès aux AWS ressources. Si vous utilisez déjà des balises dans AWS, passez en revue votre convention de dénomination et ajustez-la en conséquence.
Note
Si votre compte est membre de AWS Organizations, consultez les politiques relatives aux tags dans le guide de l'utilisateur des Organizations pour en savoir plus sur l'utilisation des tags dans les Organizations.
Bonnes pratiques pour nommer les balises
Voici quelques bonnes pratiques et conventions pour la dénomination des balises.
Veillez à ce que les noms de balises soient utilisés de manière cohérente. Par exemple, les balises CostCenter
et costcenter
sont différentes, de sorte que l'une peut être configurée en tant que balise de répartition des coûts pour l'analyse financière et la confection de rapports, alors que l'autre peut ne pas l'être. De même, le Name
tag apparaît dans la AWS console pour de nombreuses ressources, mais pas le name
tag. Pour plus d'informations sur la sensibilité à la casse des clés de balises et les valeurs de clés de balises, consultez Case sensitivity (français non garanti).
Un certain nombre de balises sont prédéfinies AWS ou créées automatiquement par différents AWS services. De nombreux noms de balises AWS définis utilisent uniquement des minuscules, avec des tirets séparant les mots dans le nom, et des préfixes pour identifier le service source de la balise. Par exemple :
-
aws:ec2spot:fleet-request-id
identifie la demande d'instance Amazon EC2 Spot qui a lancé l'instance. -
aws:cloudformation:stack-name
identifie la AWS CloudFormation pile qui a créé la ressource. -
elasticbeanstalk:environment-name
identifie l'application qui a créé la ressource.
Pensez à nommer vos balises en minuscules, avec des traits d'union séparant les mots et un préfixe identifiant le nom de l'organisation ou le nom abrégé. Par exemple, pour une société fictive nommée AnyCompany, vous pouvez définir des balises telles que :
-
anycompany:cost-center
pour identifier le code du centre de coûts interne -
anycompany:environment-type
pour déterminer si l'environnement est un environnement de développement, de test ou de production -
anycompany:application-id
pour identifier l'application pour laquelle la ressource a été créée
Le préfixe garantit que les balises sont clairement identifiées comme ayant été définies par votre organisation et AWS non par un outil tiers que vous utilisez peut-être. L'utilisation de minuscules et de traits d'union pour les séparateurs évite toute confusion quant à l'utilisation de majuscules pour le nom d'une balise. Par exemple, anycompany:project-id
est plus simple à mémoriser que ANYCOMPANY:ProjectID
, anycompany:projectID
ouAnycompany:ProjectId
.
Règles relatives au balisage et IAM AWS STS
Un certain nombre de conventions régissent la création et l'application de balises dans IAM et AWS STS.
Dénomination des balises
Respectez les conventions suivantes lors de la formulation d'une convention de dénomination des balises pour les IAM ressources, les sessions AWS STS d'attribution de rôles et les sessions utilisateur AWS STS fédérées :
Character requirements (Exigences relatives aux caractères) : les clés et valeurs des balises peuvent inclure n'importe quelle combinaison de lettres, chiffres, espaces et caractères _ . : / = + - @.
Distinction majuscules/majuscules — La distinction majuscules/minuscules pour les touches de balise varie en fonction du type de IAM ressource balisée. Les valeurs des clés de balise pour IAM les utilisateurs et les rôles ne distinguent pas les majuscules et minuscules, mais les majuscules et minuscules sont préservées. Cela signifie que vous ne pouvez pas avoir des clés de balise Department
et department
distinctes. Si vous avez balisé un utilisateur avec la balise Department=finance
et que vous ajoutez la balise department=hr
, elle remplace la première balise. Une deuxième balise n'est pas ajoutée.
Pour les autres types de IAM ressources, les valeurs des clés de balise distinguent les majuscules et minuscules. Cela signifie que vous pouvez avoir des clés de balise Costcenter
et costcenter
séparées. Par exemple, si vous avez balisé une politique gérée par le client avec la balise Costcenter = 1234
et que vous ajoutez la balise costcenter =
5678
, la politique aura à la fois les clés de balise Costcenter
et costcenter
.
À titre de bonne pratique, nous vous recommandons d'éviter d'utiliser des balises similaires avec un traitement de casse incohérent. Nous vous recommandons de choisir une stratégie pour l'utilisation de majuscules pour le nom d'une balise et de mettre en œuvre cette stratégie de manière cohérente sur tous les types de ressources. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section AWS Ressources relatives au balisage dans le. Références générales AWS
Les listes suivantes montrent les différences entre majuscules et minuscules pour les clés de balise associées aux IAM ressources.
Les valeurs de clé de balise ne sont pas sensibles à la casse :
-
IAMrôles
-
IAMutilisateurs
Les valeurs de clé de balise sont sensibles à la casse :
-
Politiques gérées par le client
-
Profils d’instance
-
Fournisseurs d'identité OpenID Connect
-
SAMLfournisseurs d'identité
-
Certificats de serveur
-
MFAAppareils virtuels
En outre, les règles suivantes s'appliquent :
-
Vous ne pouvez pas créer une clé ou valeur de balise qui commence par le texte
aws:
. Ce préfixe de balise est réservé à un usage AWS interne. -
Vous pouvez créer une balise avec une valeur vide comme
phoneNumber =
. Vous ne pouvez pas créer une clé de balise vide. -
Vous ne pouvez pas spécifier plusieurs valeurs dans une seule balise, mais vous pouvez créer une structure multivaleur personnalisée dans la valeur unique. Par exemple, supposons que l'utilisateur Zhang fonctionne sur l'équipe d'ingénierie et l'équipe d'assurance qualité. Si vous attachez la balise
team = Engineering
, puis attachez la baliseteam = QA
, vous modifiez la valeur de la balise deEngineering
enQA
. Au lieu de cela, vous pouvez inclure plusieurs valeurs dans une seule balise avec un séparateur personnalisé. Dans cet exemple, vous pouvez attacher la baliseteam = Engineering:QA
à Zhang.Note
Pour contrôler l'accès aux ingénieurs de cet exemple à l'aide de la balise
team
, vous devez créer une politique qui autorise chaque configuration susceptible d'inclureEngineering
, y comprisEngineering:QA
. Pour en savoir plus sur l'utilisation des balises dans les politiques consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.
Application et modification de balises
Respectez les conventions suivantes lorsque vous associez des balises à IAM des ressources :
-
Vous pouvez étiqueter la plupart IAM des ressources, mais pas les groupes, les rôles assumés, les rapports d'accès ou les appareils matériels. MFA
-
Vous ne pouvez pas utiliser l'éditeur de balises pour étiqueter IAM des ressources. L'éditeur de balises ne prend pas en charge les IAM balises. Pour plus d'informations sur l'utilisation de Tag Editor avec d'autres services, consultez Utilisation de Tag Editor dans le Guide de l'utilisateur AWS Resource Groups .
-
Pour étiqueter une IAM ressource, vous devez disposer d'autorisations spécifiques. Pour ajouter ou supprimer des balises aux ressources, vous devez également disposer d'une autorisation pour afficher la liste des balises. Pour plus d'informations, consultez la liste des rubriques de chaque IAM ressource à la fin de cette page.
-
Le nombre et la taille des IAM ressources d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter IAMet AWS STS quotas.
-
Vous pouvez appliquer le même tag à plusieurs IAM ressources. Par exemple, supposons que vous ayez un service nommé
AWS_Development
comprenant 12 membres. Vous pouvez avoir 12 utilisateurs et un rôle avec la clé de balisedepartment
et la valeurawsDevelopment
(department = awsDevelopment
). Vous pouvez également utiliser la même balise sur les ressources d'autres services qui prennent en charge le balisage. -
IAMles entités (utilisateurs ou rôles) ne peuvent pas avoir plusieurs instances de la même clé de balise. Par exemple, si vous avez un utilisateur avec la paire clé-valeur de balise
costCenter = 1234
, vous pouvez ensuite attacher la paire clé-valeur de balisecostCenter = 5678
. IAMmet à jour la valeur de lacostCenter
balise en5678
. -
Pour modifier une balise attachée à une IAM entité (utilisateur ou rôle), associez une balise avec une nouvelle valeur pour remplacer la balise existante. Par exemple, supposons que vous disposiez d'un utilisateur avec la paire clé-valeur de balise
department = Engineering
. Si vous devez déplacer l'utilisateur vers le service d'assurance qualité, vous pouvez attacher la paire clé-valeur de balisedepartment = QA
à l'utilisateur. Il s'ensuit que la valeurEngineering
de la clé de balisedepartment
est remplacée par la valeurQA
.