Menandai kebijakan yang dikelola pelanggan - AWS Identity and Access Management
Izin yang diperlukan untuk menandai kebijakan terkelola pelangganMengelola tag pada kebijakan terkelola pelanggan IAM (konsol)Mengelola tag pada kebijakan (AWS CLI atau AWS API) yang dikelola pelanggan IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menandai kebijakan yang dikelola pelanggan

Anda dapat menggunakan pasangan nilai kunci tag IAM untuk menambahkan atribut khusus ke kebijakan terkelola pelanggan Anda. Misalnya, untuk menandai kebijakan dengan informasi departemen, Anda dapat menambahkan kunci tanda Department dan nilai tanda eng. Atau, Anda mungkin ingin menandai kebijakan guna menunjukkan bahwa kebijakan tersebut adalah untuk lingkungan tertentu, seperti Environment = lab. Anda dapat menggunakan tanda untuk mengontrol akses ke sumber daya atau untuk mengontrol tanda yang dapat dilampirkan ke identitas. Untuk mempelajari selengkapnya tentang penggunaan tanda untuk mengontrol akses, lihat Mengontrol akses ke dan untuk pengguna dan peran IAM menggunakan tag.

Anda juga dapat menggunakan tag AWS STS untuk menambahkan atribut kustom saat Anda mengambil peran atau menyatukan pengguna. Untuk informasi selengkapnya, lihat Melewati tag sesi di AWS STS.

Izin yang diperlukan untuk menandai kebijakan terkelola pelanggan

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (pengguna atau peran) menandai kebijakan yang dikelola pelanggan. Anda dapat menentukan satu atau semua tindakan tag IAM berikut dalam kebijakan IAM:

  • iam:ListPolicyTags

  • iam:TagPolicy

  • iam:UntagPolicy

Untuk mengizinkan entitas IAM (pengguna atau peran) menambah, mencantumkan, atau menghapus tag untuk kebijakan terkelola pelanggan

Tambahkan pernyataan berikut ini ke kebijakan izin untuk entitas IAM yang perlu mengelola tag. Gunakan nomor akun Anda dan ganti <policyname> dengan nama kebijakan yang tandanya perlu dikelola. Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan menggunakan editor JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy",
        "iam:UntagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}
Untuk mengizinkan entitas IAM (pengguna atau peran) menambahkan tag ke kebijakan terkelola pelanggan tertentu

Tambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu menambahkan, tetapi tidak menghapus, tag untuk kebijakan tertentu.

catatan

Tindakan iam:TagPolicy mengharuskan Anda untuk juga menyertakan tindakan iam:ListPolicyTags.

Untuk menggunakan kebijakan ini, ganti <policyname> dengan nama kebijakan yang tandanya perlu dikelola. Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan menggunakan editor JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}

Atau, Anda dapat menggunakan kebijakan AWS terkelola seperti IAM FullAccess untuk menyediakan akses penuh ke IAM.

Mengelola tag pada kebijakan terkelola pelanggan IAM (konsol)

Anda dapat mengelola tag untuk kebijakan yang dikelola pelanggan IAM dari. AWS Management Console

Untuk mengelola tanda pada kebijakan terkelola pelanggan (konsol)

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol, pilih Kebijakan lalu pilih nama kebijakan terkelola pelanggan yang ingin Anda edit.

  3. Pilih tab Tag dan kemudian pilih Kelola tag.

  4. Tambahkan atau hapus tag untuk menyelesaikan rangkaian tag. Lalu pilih Simpan Perubahan.

Mengelola tag pada kebijakan (AWS CLI atau AWS API) yang dikelola pelanggan IAM

Anda dapat membuat daftar, melampirkan, atau menghapus tag untuk kebijakan yang dikelola pelanggan IAM. Anda dapat menggunakan AWS CLI atau AWS API untuk mengelola tag untuk kebijakan yang dikelola pelanggan IAM.

Untuk mencantumkan tag yang saat ini dilampirkan ke kebijakan (AWS CLI atau AWS API) yang dikelola pelanggan IAM
Untuk melampirkan tag ke kebijakan (AWS CLI atau AWS API) yang dikelola pelanggan IAM
Untuk menghapus tag dari kebijakan (AWS CLI atau AWS API) yang dikelola pelanggan IAM

Untuk informasi tentang melampirkan tag ke sumber daya untuk AWS layanan lain, lihat dokumentasi untuk layanan tersebut.

Untuk informasi tentang menggunakan tag untuk mengatur lebih banyak izin granular dengan kebijakan izin, lihat Elemen kebijakan IAM: Variabel dan tanda.