Autorisations requises pour baliser les fournisseurs d'identité OIDC IAM Gestion des balises sur les fournisseurs d'identité OIDC IAM (console)Gestion des balises sur les fournisseurs d'identité IAM OIDC (AWS CLI ou AWS API)

Balisage de fournisseurs d'identité OpenID Connect (OIDC)

Vous pouvez utiliser des paires clé-valeur de balises IAM pour ajouter des attributs personnalisés aux fournisseurs d'identité OpenID Connect (OIDC) IAM. Par exemple, pour identifier un fournisseur d'identité OIDC, vous pouvez ajouter la clé de balise google et la valeur de balise oidc. Vous pouvez utiliser les balises pour contrôler l'accès aux ressources ou pour contrôler les balises qui peuvent être attachées à un objet. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.

Autorisations requises pour baliser les fournisseurs d'identité OIDC IAM

Vous devez configurer les autorisations de manière à permettre à une entité IAM (utilisateur ou rôle) de baliser des fournisseurs d'identité OIDC IAM. Vous pouvez spécifier une ou toutes les actions suivantes d'une balise IAM dans une politique IAM :

iam:ListOpenIDConnectProviderTags
iam:TagOpenIDConnectProvider
iam:UntagOpenIDConnectProvider

Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter, afficher la liste ou supprimer une balise pour un fournisseur d'identité OIDC IAM

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit gérer les balises. Utilisez votre numéro de compte et remplacez <OIDC ProviderName > par le nom du fournisseur OIDC dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.


{
    "Effect": "Allow",
    "Action": [
        "iam:ListOpenIDConnectProviderTags",
        "iam:TagOpenIDConnectProvider",
        "iam:UntagOpenIDConnectProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>"
}

Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter une balise à un fournisseur d'identité OIDC IAM spécifique

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit ajouter, mais non pas supprimer, les balises d'un fournisseur d'identité spécifique.

Note

L'action iam:TagOpenIDConnectProvider nécessite d'inclure également l'action iam:ListOpenIDConnectProviderTags.

Pour utiliser cette politique, remplacez <OIDC ProviderName > par le nom du fournisseur OIDC dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.


{
    "Effect": "Allow",
    "Action": [
        "iam:ListOpenIDConnectProviderTags",
        "iam:TagOpenIDConnectProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>"
}

Vous pouvez également utiliser une politique AWS gérée telle que IAM FullAccess pour fournir un accès complet à IAM.

Gestion des balises sur les fournisseurs d'identité OIDC IAM (console)

Vous pouvez gérer les balises pour les fournisseurs d'identité OIDC IAM à partir de la AWS Management Console.

Pour gérer les balises sur les fournisseurs d'identité OIDC (console)

Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation de la console, sélectionnez Identity providers (Fournisseurs d'identité), puis le nom du fournisseur d'identité que vous souhaitez modifier.
Dans la section Tags (Balises), choisissez Manage Tags (Gérer les balises), puis effectuez l'une des actions suivantes :
- Choisissez Add tag (Ajouter une balise) si le fournisseur d'identité OIDC n'a pas encore de balises ou pour ajouter une nouvelle balise.
- Modifiez les clés et les valeurs de balise existantes.
- Choisissez Remove tag (Supprimer une balise) pour supprimer une balise.
Ensuite, choisissez Enregistrer les modifications.

Gestion des balises sur les fournisseurs d'identité IAM OIDC (AWS CLI ou AWS API)

Vous pouvez afficher la liste, attacher ou supprimer des balises pour les fournisseurs d'identité OIDC IAM. Vous pouvez utiliser l'API AWS CLI ou l' AWS API pour gérer les balises des fournisseurs d'identité IAM OIDC.

Pour répertorier les balises actuellement attachées à un fournisseur d'identité (AWS CLI ou AWS API) IAM OIDC

AWS CLI: balises aws iam -provider-tags list-open-id-connect
AWS API : ListOpenID ConnectProviderTags

Pour associer des balises à un fournisseur d'identité (AWS CLI ou AWS API) IAM OIDC

AWS CLI: fournisseur AWS iam tag-open-id-connect
AWS API : TagOpenID ConnectProvider

Pour supprimer des balises d'un fournisseur d'identité (AWS CLI ou AWS API) IAM OIDC

AWS CLI: fournisseur AWS iam untag-open-id-connect
AWS API : UntagOpenID ConnectProvider

Pour plus d'informations sur l'attachement de balises aux ressources d'autres AWS services, consultez la documentation de ces services.

Pour plus d'informations sur l'utilisation des balises pour définir d'autres autorisations détaillées avec des politiques d'autorisations IAM, consultez Éléments des politiques IAM : variables et balises.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Balisage de fournisseurs d'identité IAM

Balisage de fournisseurs d'identité SAML IAM