Balisage des politiques gérées par le client - AWS Identity and Access Management
Autorisations requises pour baliser les politiques gérées par le clientGestion des balises sur les politiques gérées par le client IAM (console)Gestion des balises sur les politiques gérées par le client IAM (AWS CLI ou API AWS)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Balisage des politiques gérées par le client

Vous pouvez utiliser des paires clé-valeur de balises IAM pour ajouter des attributs personnalisés à vos politiques gérées par le client. Par exemple, pour baliser une politique avec des informations de service, vous pouvez ajouter la clé de balise Department et la valeur de balise eng. Ou bien, vous pouvez baliser les politiques pour indiquer qu'elles sont destinées à un environnement spécifique, comme Environment = lab. Vous pouvez utiliser les balises pour contrôler l'accès aux ressources ou pour contrôler les balises qui peuvent être attachées à une ressource. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.

Vous pouvez également utiliser des balises dans AWS STS pour ajouter des attributs personnalisés lorsque vous endossez un rôle ou fédérez un utilisateur. Pour plus d’informations, veuillez consulter Transmission des balises de session AWS STS.

Autorisations requises pour baliser les politiques gérées par le client

Vous devez configurer des autorisations pour autoriser une entité IAM (utilisateurs ou rôles) à baliser les politiques gérées par le client. Vous pouvez spécifier une ou toutes les actions suivantes d'une balise IAM dans une politique IAM :

  • iam:ListPolicyTags

  • iam:TagPolicy

  • iam:UntagPolicy

Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter, afficher la liste ou supprimer une balise pour une politique gérée par le client

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit gérer les balises. Utilisez votre numéro de compte et remplacez <policyname> par le nom de la politique dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy",
        "iam:UntagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}
Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter une balise à une politique gérée par le client spécifique

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit ajouter, mais non pas supprimer, les balises d'une politique spécifique.

Note

L'action iam:TagPolicy nécessite d'inclure également l'action iam:ListPolicyTags.

Pour utiliser cette politique, remplacez <policyname> par le nom de la politique dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}

Sinon, vous pouvez utiliser une politique gérée par AWS, comme IAMFullAccess, pour fournir un accès complet à IAM.

Gestion des balises sur les politiques gérées par le client IAM (console)

Vous pouvez gérer les balises pour les politiques gérées par le client IAM à partir de la AWS Management Console.

Pour gérer les balises sur les politiques gérées par le client (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de la console, choisissez Policies (Politiques), puis choisissez le nom de la politique gérée par le client que vous souhaitez modifier.

  3. Choisissez l'onglet Balises, puis Gérer les balises.

  4. Ajoutez ou supprimez des balises pour terminer l'ensemble de balises. Ensuite, choisissez Enregistrer les modifications.

Gestion des balises sur les politiques gérées par le client IAM (AWS CLI ou API AWS)

Vous pouvez afficher la liste, attacher ou supprimer des balises pour les politiques gérées par le client IAM. Vous pouvez utiliser la AWS CLI ou l'API AWS pour gérer les balises des politiques gérées par le client IAM.

Pour afficher la liste des balises actuellement attachées à une politique gérée par le client IAM (AWS CLI ou API AWS)
Pour attacher des balises à une politique gérée par le client IAM (AWS CLI ou API AWS)
Pour supprimer des balises d'une politique gérée par le client IAM (AWS CLI ou API AWS)

Pour plus d'informations sur l'attachement des balises aux ressources pour d'autres services AWS, reportez-vous à la documentation de ces services.

Pour plus d'informations sur l'utilisation des balises pour définir d'autres autorisations détaillées avec des politiques d'autorisations IAM, consultez Éléments des politiques IAM : variables et balises.