Étiquette d'utilisateurs IAM - AWS Identity and Access Management
Autorisations requises pour le balisage des utilisateurs IAMGestion des balises sur les utilisateurs IAM (console)Gestion des balises sur les utilisateurs IAM (AWS CLI ou API AWS)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étiquette d'utilisateurs IAM

Vous pouvez utiliser des paires clé-valeur de balise IAM pour ajouter des attributs personnalisés à un utilisateur IAM. Par exemple, pour ajouter les informations relatives à un utilisateur, vous pouvez ajouter la clé de balise location et la valeur de balise us_wa_seattle. Ou vous pouvez utiliser trois paires clé-valeur de balise aux emplacements distincts : loc-country = us, loc-state = wa et loc-city = seattle. Vous pouvez utiliser les balises pour contrôler l'accès d'un utilisateur aux ressources d'une entité ou pour contrôler les balises qui peuvent être attachées à un utilisateur. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.

Vous pouvez également utiliser des balises dans AWS STS pour ajouter des attributs personnalisés lorsque vous endossez un rôle ou fédérez un utilisateur. Pour plus d’informations, veuillez consulter Transmission des balises de session AWS STS.

Autorisations requises pour le balisage des utilisateurs IAM

Vous devez configurer les autorisations pour permettre à un utilisateur IAM de baliser d'autres utilisateurs. Vous pouvez spécifier une ou toutes les actions suivantes d'une balise IAM dans une politique IAM :

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

Pour autoriser un utilisateur IAM à ajouter, afficher la liste ou supprimer une balise pour un utilisateur spécifique

Ajoutez l'instruction suivante à la politique d'autorisations de l'utilisateur IAM qui doit gérer les balises. Utilisez votre numéro de compte et remplacez <username> par le nom de l'utilisateur dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser",
        "iam:UntagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}
Pour autoriser un utilisateur IAM à gérer lui-même les balises

Ajoutez l'instruction suivante à la politique d'autorisations pour les utilisateurs qui autorisent les utilisateurs à gérer leurs propres balises. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser",
        "iam:UntagUser"
    ],
    "Resource": "arn:aws:iam::user/${aws:username}"
}
Pour autoriser un utilisateur IAM à ajouter une balise à un utilisateur spécifique

Ajoutez l'instruction suivante à la politique d'autorisations de l'utilisateur IAM qui doit ajouter, mais non pas supprimer, les balises d'un utilisateur spécifique.

Note

L'action iam:TagUser nécessite d'inclure également l'action iam:ListUserTags.

Pour utiliser cette politique, remplacez <username> par le nom de l'utilisateur dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}

Sinon, vous pouvez utiliser une politique gérée par AWS, comme IAMFullAccess, pour fournir un accès complet à IAM.

Gestion des balises sur les utilisateurs IAM (console)

Vous pouvez gérer les balises pour les utilisateurs IAM depuis la AWS Management Console.

Pour gérer les balises sur les utilisateurs (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de la console, choisissez Users (Utilisateurs), puis choisissez le nom de l'utilisateur que vous souhaitez modifier.

  3. Choisissez l'onglet Balises, puis effectuez l'une des actions suivantes :

    • Choisissez Ajouter une nouvelle balise si l'utilisateur ne dispose pas encore de balises.

    • Choisissez Manage tags (Gérer les balises) pour gérer l'ensemble de balises existant.

  4. Ajoutez ou supprimez des balises pour terminer l'ensemble de balises. Ensuite, choisissez Enregistrer les modifications.

Gestion des balises sur les utilisateurs IAM (AWS CLI ou API AWS)

Vous pouvez afficher la liste, attacher ou supprimer des balises pour les utilisateurs IAM. Vous pouvez utiliser la AWS CLI ou l'API AWS pour gérer les balises pour les utilisateurs IAM.

Pour répertorier les balises actuellement attachées à un utilisateur IAM (AWS CLI ou API AWS)
Pour attacher des balises à un utilisateur IAM (AWS CLI ou API AWS)
Pour supprimer des balises d'un utilisateur IAM (AWS CLI ou API AWS)

Pour plus d'informations sur l'attachement des balises aux ressources pour d'autres services AWS, reportez-vous à la documentation de ces services.

Pour plus d'informations sur l'utilisation des balises pour définir d'autres autorisations détaillées avec des politiques d'autorisations IAM, consultez Éléments des politiques IAM : variables et balises.