Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Balisage des politiques gérées par le client
Vous pouvez utiliser des paires clé-valeur de balises IAM pour ajouter des attributs personnalisés à vos politiques gérées par le client. Par exemple, pour baliser une politique avec des informations de service, vous pouvez ajouter la clé de balise Department
et la valeur de balise eng
. Ou bien, vous pouvez baliser les politiques pour indiquer qu'elles sont destinées à un environnement spécifique, comme Environment = lab
. Vous pouvez utiliser les balises pour contrôler l'accès aux ressources ou pour contrôler les balises qui peuvent être attachées à une ressource. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.
Vous pouvez également utiliser des balises dans AWS STS pour ajouter des attributs personnalisés lorsque vous endossez un rôle ou fédérez un utilisateur. Pour plus d’informations, veuillez consulter Transmission des balises de session AWS STS.
Autorisations requises pour baliser les politiques gérées par le client
Vous devez configurer des autorisations pour autoriser une entité IAM (utilisateurs ou rôles) à baliser les politiques gérées par le client. Vous pouvez spécifier une ou toutes les actions suivantes d'une balise IAM dans une politique IAM :
-
iam:ListPolicyTags
-
iam:TagPolicy
-
iam:UntagPolicy
Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter, afficher la liste ou supprimer une balise pour une politique gérée par le client
Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit gérer les balises. Utilisez votre numéro de compte et remplacez <policyname>
par le nom de la politique dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.
{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy", "iam:UntagPolicy" ], "Resource": "arn:aws:iam::
<account-number>
:policy/<policyname>
" }
Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter une balise à une politique gérée par le client spécifique
Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit ajouter, mais non pas supprimer, les balises d'une politique spécifique.
Note
L'action iam:TagPolicy
nécessite d'inclure également l'action iam:ListPolicyTags
.
Pour utiliser cette politique, remplacez <policyname>
par le nom de la politique dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.
{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy" ], "Resource": "arn:aws:iam::
<account-number>
:policy/<policyname>
" }
Sinon, vous pouvez utiliser une politique gérée par AWS, comme IAMFullAccess
Gestion des balises sur les politiques gérées par le client IAM (console)
Vous pouvez gérer les balises pour les politiques gérées par le client IAM à partir de la AWS Management Console.
Pour gérer les balises sur les politiques gérées par le client (console)
Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation de la console, choisissez Policies (Politiques), puis choisissez le nom de la politique gérée par le client que vous souhaitez modifier.
-
Choisissez l'onglet Balises, puis Gérer les balises.
-
Ajoutez ou supprimez des balises pour terminer l'ensemble de balises. Ensuite, choisissez Enregistrer les modifications.
Gestion des balises sur les politiques gérées par le client IAM (AWS CLI ou API AWS)
Vous pouvez afficher la liste, attacher ou supprimer des balises pour les politiques gérées par le client IAM. Vous pouvez utiliser la AWS CLI ou l'API AWS pour gérer les balises des politiques gérées par le client IAM.
Pour afficher la liste des balises actuellement attachées à une politique gérée par le client IAM (AWS CLI ou API AWS)
-
AWS CLI : aws iam list-policy-tags
-
API AWS : ListPolicyTags
Pour attacher des balises à une politique gérée par le client IAM (AWS CLI ou API AWS)
-
AWS CLI : aws iam tag-policy
-
API AWS : TagPolicy
Pour supprimer des balises d'une politique gérée par le client IAM (AWS CLI ou API AWS)
-
AWS CLI : aws iam untag-policy
-
API AWS : UntagPolicy
Pour plus d'informations sur l'attachement des balises aux ressources pour d'autres services AWS, reportez-vous à la documentation de ces services.
Pour plus d'informations sur l'utilisation des balises pour définir d'autres autorisations détaillées avec des politiques d'autorisations IAM, consultez Éléments des politiques IAM : variables et balises.