Balisage de profils d'instance pour les rôles Amazon EC2 - AWS Identity and Access Management
Autorisations requises pour le balisage des profils d'instanceGestion des balises sur les profils d'instance (API AWS CLI ou AWS)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Balisage de profils d'instance pour les rôles Amazon EC2

Lorsque vous lancez une instance Amazon EC2, vous spécifiez un rôle IAM à associer à celle-ci. Un profil d'instance est un conteneur pour un rôle IAM que vous pouvez utiliser pour transmettre les informations liées au rôle à une instance Amazon EC2 lorsque l'instance démarre. Vous pouvez baliser des profils d'instance lorsque vous utilisez l'API AWS CLI ou AWS.

Vous pouvez utiliser des paires clé-valeur de balise IAM pour ajouter des attributs personnalisés à un profil d'instance. Par exemple, pour ajouter des informations de service à un profil d'instance, vous pouvez ajouter la clé de balise access-team et la valeur de balise eng. Cela donne aux principaux avec des balises correspondantes l'accès aux profils d'instance avec la même balise. Vous pouvez utiliser plusieurs paires clé-valeur de balise pour spécifier une équipe et un projet : access-team = eng , et project = peg. Vous pouvez utiliser les balises pour contrôler l'accès d'un utilisateur aux ressources d'une entité ou pour contrôler les balises qui peuvent être attachées à un utilisateur. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.

Vous pouvez également utiliser des balises dans AWS STS pour ajouter des attributs personnalisés lorsque vous endossez un rôle ou fédérez un utilisateur. Pour plus d’informations, veuillez consulter Transmission des balises de session AWS STS.

Autorisations requises pour le balisage des profils d'instance

Vous devez configurer les autorisations de manière à permettre à une entité IAM (utilisateur ou rôle) de baliser des profils d'instance. Vous pouvez spécifier une ou toutes les actions suivantes d'une balise IAM dans une politique IAM :

  • iam:ListInstanceProfileTags

  • iam:TagInstanceProfile

  • iam:UntagInstanceProfile

Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter, afficher la liste ou supprimer une balise pour un profil d'instance

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit gérer les balises. Utilisez votre numéro de compte et remplacez <InstanceProfileName> par le nom du profil d'instance dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListInstanceProfileTags",
        "iam:TagInstanceProfile",
        "iam:UntagInstanceProfile"
    ],
    "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>"
}
Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter une balise à un profil d'instance spécifique

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit ajouter, mais non pas supprimer, les balises d'un profil d'instance spécifique.

Note

L'action iam:TagInstanceProfile nécessite d'inclure également l'action iam:ListInstanceProfileTags.

Pour utiliser cette politique, remplacez <InstanceProfileName> par le nom du profil d'instance dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListInstanceProfileTags",
        "iam:TagInstanceProfile"
    ],
    "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>"
}

Sinon, vous pouvez utiliser une politique gérée par AWS, comme IAMFullAccess, pour fournir un accès complet à IAM.

Gestion des balises sur les profils d'instance (API AWS CLI ou AWS)

Vous pouvez afficher la liste, attacher ou supprimer des balises pour des profils d'instance. Vous pouvez utiliser l'API AWS CLI ou AWS pour gérer les balises pour les profils d'instance.

Pour répertorier les balises actuellement attachées à un profil d'instance (API AWS CLI ou AWS)
Pour attacher des balises à un profil d'instance (API AWS CLI ou AWS)
Pour supprimer des balises d'un profil d'instance (API AWS CLI ou AWS)

Pour plus d'informations sur l'attachement des balises aux ressources pour d'autres services AWS, reportez-vous à la documentation de ces services.

Pour plus d'informations sur l'utilisation des balises pour définir d'autres autorisations détaillées avec des politiques d'autorisations IAM, consultez Éléments des politiques IAM : variables et balises.