Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Étiquette d'utilisateurs IAM
Vous pouvez utiliser des paires clé-valeur de balise IAM pour ajouter des attributs personnalisés à un utilisateur IAM. Par exemple, pour ajouter les informations relatives à un utilisateur, vous pouvez ajouter la clé de balise location
et la valeur de balise us_wa_seattle
. Ou vous pouvez utiliser trois paires clé-valeur de balise aux emplacements distincts : loc-country =
us
, loc-state = wa
et loc-city =
seattle
. Vous pouvez utiliser les balises pour contrôler l'accès d'un utilisateur aux ressources d'une entité ou pour contrôler les balises qui peuvent être attachées à un utilisateur. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.
Vous pouvez également utiliser des balises dans AWS STS pour ajouter des attributs personnalisés lorsque vous endossez un rôle ou fédérez un utilisateur. Pour plus d’informations, veuillez consulter Transmission des balises de session AWS STS.
Autorisations requises pour le balisage des utilisateurs IAM
Vous devez configurer les autorisations pour permettre à un utilisateur IAM de baliser d'autres utilisateurs. Vous pouvez spécifier une ou toutes les actions suivantes d'une balise IAM dans une politique IAM :
-
iam:ListUserTags
-
iam:TagUser
-
iam:UntagUser
Pour autoriser un utilisateur IAM à ajouter, afficher la liste ou supprimer une balise pour un utilisateur spécifique
Ajoutez l'instruction suivante à la politique d'autorisations de l'utilisateur IAM qui doit gérer les balises. Utilisez votre numéro de compte et remplacez <username>
par le nom de l'utilisateur dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.
{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam::
<account-number>
:user/<username>
" }
Pour autoriser un utilisateur IAM à gérer lui-même les balises
Ajoutez l'instruction suivante à la politique d'autorisations pour les utilisateurs qui autorisent les utilisateurs à gérer leurs propres balises. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.
{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam::user/${aws:username}" }
Pour autoriser un utilisateur IAM à ajouter une balise à un utilisateur spécifique
Ajoutez l'instruction suivante à la politique d'autorisations de l'utilisateur IAM qui doit ajouter, mais non pas supprimer, les balises d'un utilisateur spécifique.
Note
L'action iam:TagUser
nécessite d'inclure également l'action iam:ListUserTags
.
Pour utiliser cette politique, remplacez <username>
par le nom de l'utilisateur dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.
{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam::
<account-number>
:user/<username>
" }
Sinon, vous pouvez utiliser une politique gérée par AWS, comme IAMFullAccess
Gestion des balises sur les utilisateurs IAM (console)
Vous pouvez gérer les balises pour les utilisateurs IAM depuis la AWS Management Console.
Pour gérer les balises sur les utilisateurs (console)
Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation de la console, choisissez Users (Utilisateurs), puis choisissez le nom de l'utilisateur que vous souhaitez modifier.
-
Choisissez l'onglet Balises, puis effectuez l'une des actions suivantes :
-
Choisissez Ajouter une nouvelle balise si l'utilisateur ne dispose pas encore de balises.
-
Choisissez Manage tags (Gérer les balises) pour gérer l'ensemble de balises existant.
-
-
Ajoutez ou supprimez des balises pour terminer l'ensemble de balises. Ensuite, choisissez Enregistrer les modifications.
Gestion des balises sur les utilisateurs IAM (AWS CLI ou API AWS)
Vous pouvez afficher la liste, attacher ou supprimer des balises pour les utilisateurs IAM. Vous pouvez utiliser la AWS CLI ou l'API AWS pour gérer les balises pour les utilisateurs IAM.
Pour répertorier les balises actuellement attachées à un utilisateur IAM (AWS CLI ou API AWS)
-
AWS CLI: aws iam list-user-tags
-
API AWS : ListUserTags
Pour attacher des balises à un utilisateur IAM (AWS CLI ou API AWS)
-
AWS CLI: aws iam tag-user
-
API AWS : TagUser
Pour supprimer des balises d'un utilisateur IAM (AWS CLI ou API AWS)
-
AWS CLI: aws iam untag-user
-
API AWS : UntagUser
Pour plus d'informations sur l'attachement des balises aux ressources pour d'autres services AWS, reportez-vous à la documentation de ces services.
Pour plus d'informations sur l'utilisation des balises pour définir d'autres autorisations détaillées avec des politiques d'autorisations IAM, consultez Éléments des politiques IAM : variables et balises.