Balisage des politiques gérées par le client - AWS Identity and Access Management
Autorisations requises pour baliser les politiques gérées par le clientGestion des balises sur les politiques gérées par le client IAM (console)Gestion des balises sur les politiques (AWS CLI ou AWS API) gérées par le client IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Balisage des politiques gérées par le client

Vous pouvez utiliser des paires clé-valeur de balises IAM pour ajouter des attributs personnalisés à vos politiques gérées par le client. Par exemple, pour baliser une politique avec des informations de service, vous pouvez ajouter la clé de balise Department et la valeur de balise eng. Ou bien, vous pouvez baliser les politiques pour indiquer qu'elles sont destinées à un environnement spécifique, comme Environment = lab. Vous pouvez utiliser les balises pour contrôler l'accès aux ressources ou pour contrôler les balises qui peuvent être attachées à une ressource. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.

Vous pouvez également utiliser des balises AWS STS pour ajouter des attributs personnalisés lorsque vous assumez un rôle ou que vous fédérez un utilisateur. Pour plus d’informations, consultez Transmission des balises de session AWS STS.

Autorisations requises pour baliser les politiques gérées par le client

Vous devez configurer des autorisations pour autoriser une entité IAM (utilisateurs ou rôles) à baliser les politiques gérées par le client. Vous pouvez spécifier une ou toutes les actions suivantes d'une balise IAM dans une politique IAM :

  • iam:ListPolicyTags

  • iam:TagPolicy

  • iam:UntagPolicy

Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter, afficher la liste ou supprimer une balise pour une politique gérée par le client

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit gérer les balises. Utilisez votre numéro de compte et remplacez <policyname> par le nom de la politique dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy",
        "iam:UntagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}
Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter une balise à une politique gérée par le client spécifique

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit ajouter, mais non pas supprimer, les balises d'une politique spécifique.

Note

L'action iam:TagPolicy nécessite d'inclure également l'action iam:ListPolicyTags.

Pour utiliser cette politique, remplacez <policyname> par le nom de la politique dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}

Vous pouvez également utiliser une politique AWS gérée telle que IAM FullAccess pour fournir un accès complet à IAM.

Gestion des balises sur les politiques gérées par le client IAM (console)

Vous pouvez gérer les balises pour les politiques gérées par le client IAM à partir de la AWS Management Console.

Pour gérer les balises sur les politiques gérées par le client (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de la console, choisissez Policies (Politiques), puis choisissez le nom de la politique gérée par le client que vous souhaitez modifier.

  3. Choisissez l'onglet Balises, puis Gérer les balises.

  4. Ajoutez ou supprimez des balises pour terminer l'ensemble de balises. Ensuite, choisissez Enregistrer les modifications.

Gestion des balises sur les politiques (AWS CLI ou AWS API) gérées par le client IAM

Vous pouvez afficher la liste, attacher ou supprimer des balises pour les politiques gérées par le client IAM. Vous pouvez utiliser l'API AWS CLI ou l' AWS API pour gérer les balises dans le cadre des politiques gérées par les clients IAM.

Pour répertorier les balises actuellement attachées à une politique (AWS CLI ou AWS API) gérée par le client IAM
Pour associer des balises à une politique (AWS CLI ou AWS API) gérée par le client IAM
Pour supprimer des balises d'une politique (AWS CLI ou AWS API) gérée par le client IAM

Pour plus d'informations sur l'attachement de balises aux ressources d'autres AWS services, consultez la documentation de ces services.

Pour plus d'informations sur l'utilisation des balises pour définir d'autres autorisations détaillées avec des politiques d'autorisations IAM, consultez Éléments des stratégies IAM : variables et balises.