Étiquette de rôles IAM - AWS Identity and Access Management

Étiquette de rôles IAM

Vous pouvez utiliser des paires clé-valeur de balises pour ajouter des attributs personnalisés à un rôle IAM. Par exemple, pour ajouter les informations relatives à un rôle, vous pouvez ajouter la clé de balise location et la valeur de balise us_wa_seattle. Ou vous pouvez utiliser trois paires clé-valeur de balise aux emplacements distincts : loc-country = us, loc-state = wa et loc-city = seattle. Vous pouvez utiliser les balises pour contrôler l'accès d'un rôle aux ressources d'une entité ou pour contrôler les balises qui peuvent être attachées à un rôle. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.

Vous pouvez également utiliser des balises dans AWS STS pour ajouter des attributs personnalisés lorsque vous endossez un rôle ou fédérez un utilisateur. Pour plus d’informations, veuillez consulter Transmission des balises de session dans AWS STS.

Autorisations requises pour le balisage des rôles IAM

Vous devez configurer les autorisations de manière à permettre à un rôle IAM de baliser d'autres entités (utilisateurs ou rôles). Vous pouvez spécifier une ou toutes les actions suivantes d'une balise IAM dans une politique IAM :

  • iam:ListRoleTags

  • iam:TagRole

  • iam:UntagRole

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

Pour autoriser un rôle IAM à ajouter, afficher la liste ou supprimer une balise pour un utilisateur spécifique

Ajoutez l'instruction suivante à la politique d'autorisations du rôle IAM qui doit gérer les balises. Utilisez votre numéro de compte et remplacez <username> par le nom de l'utilisateur dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques dans l'onglet JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam::<account-number>:user/<username>" }

Pour autoriser un rôle IAM à ajouter une balise à un utilisateur spécifique

Ajoutez l'instruction suivante à la politique d'autorisations du rôle IAM qui doit ajouter, mais non pas supprimer, les balises d'un utilisateur spécifique.

Note

L'action iam:TagRole nécessite d'inclure également l'action iam:ListRoleTags.

Pour utiliser cette politique, remplacez <username> par le nom de l'utilisateur dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques dans l'onglet JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam::<account-number>:user/<username>" }

Pour autoriser un rôle IAM à ajouter, afficher la liste ou supprimer une balise pour un rôle spécifique

Ajoutez l'instruction suivante à la politique d'autorisations du rôle IAM qui doit gérer les balises. Remplacez <rolename> par le nom du rôle dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques dans l'onglet JSON.

{ "Effect": "Allow", "Action": [ "iam:ListRoleTags", "iam:TagRole", "iam:UntagRole" ], "Resource": "arn:aws:iam::<account-number>:role/<rolename>" }

Sinon, vous pouvez utiliser une politique gérée par AWS, comme IAMFullAccess, pour fournir un accès complet à IAM.

Gestion des balises sur les rôles IAM (console)

Vous pouvez gérer les balises pour les rôles IAM depuis la AWS Management Console.

Pour gérer les balises sur les rôles (console)

  1. Connectez-vous à la AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de la console, choisissez Roles (Rôles), puis choisissez le nom du rôle que vous souhaitez modifier.

  3. Choisissez l'onglet Balises, puis effectuez l'une des actions suivantes :

    • Choisissez Add new tag (Ajouter une nouvelle balise) si le rôle ne dispose pas encore de balises.

    • Choisissez Manage tags (Gérer les balises) pour gérer l'ensemble de balises existant.

  4. Ajoutez ou supprimez des balises pour terminer l'ensemble de balises. Ensuite, choisissez Save changes (Enregistrer les modifications).

Gestion des balises sur les rôles IAM (AWS CLI ou API AWS)

Vous pouvez afficher la liste, attacher ou supprimer des balises pour les rôles IAM. Vous pouvez utiliser la AWS CLI ou l'API AWS pour gérer les balises pour les rôles IAM.

Pour répertorier les balises actuellement attachées à un rôle IAM (AWS CLI ou API AWS)

Pour attacher des balises à un rôle IAM (AWS CLI ou API AWS)

Pour supprimer des balises d'un rôle IAM (AWS CLI ou API AWS)

Pour plus d'informations sur l'attachement des balises aux ressources pour d'autres services AWS, reportez-vous à la documentation de ces services.

Pour plus d'informations sur l'utilisation des balises pour définir d'autres autorisations détaillées avec des politiques d'autorisations IAM, consultez Éléments des politiques IAM : variables et balises.