Menandai perangkat MFA virtual - AWS Identity and Access Management
Izin yang diperlukan untuk menandai perangkat MFA virtualMengelola tag pada perangkat MFA virtual (AWS CLI atau AWS API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menandai perangkat MFA virtual

Anda dapat menggunakan pasangan nilai kunci tag IAM untuk menambahkan atribut khusus ke perangkat MFA virtual. Misalnya, untuk menambahkan informasi pusat biaya untuk perangkat MFA virtual pengguna, Anda dapat menambahkan kunci tanda CostCenter dan nilai tanda 1234. Anda dapat menggunakan tanda untuk mengontrol akses ke sumber daya atau untuk mengontrol tanda yang dapat dilampirkan ke objek. Untuk mempelajari lebih lanjut tentang penggunaan tag untuk mengontrol akses, lihat Mengontrol akses ke dan untuk pengguna dan peran IAM menggunakan tag.

Anda juga dapat menggunakan tag AWS STS untuk menambahkan atribut kustom saat Anda mengambil peran atau menyatukan pengguna. Untuk informasi selengkapnya, lihat Melewati tag sesi di AWS STS.

Izin yang diperlukan untuk menandai perangkat MFA virtual

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (pengguna atau peran) menandai perangkat MFA virtual. Anda dapat menentukan satu atau semua tindakan tag IAM berikut dalam kebijakan IAM:

  • iam:ListMFADeviceTags

  • iam:TagMFADevice

  • iam:UntagMFADevice

Untuk mengizinkan entitas IAM (pengguna atau peran) menambahkan, membuat daftar, atau menghapus tag untuk perangkat MFA virtual

Tambahkan pernyataan berikut ini ke kebijakan izin untuk entitas IAM yang perlu mengelola tag. Gunakan nomor akun Anda dan ganti <MFATokenID> dengan nama perangkat MFA virtual yang tandanya perlu dikelola. Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan menggunakan editor JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListMFADeviceTags",
        "iam:TagMFADevice",
        "iam:UntagMFADevice"
    ],
    "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>"
}
Untuk mengizinkan entitas IAM (pengguna atau peran) menambahkan tag ke perangkat MFA virtual tertentu

Tambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu menambahkan, tetapi tidak menghapus, tag untuk perangkat MFA tertentu.

catatan

Tindakan iam:TagMFADevice mengharuskan Anda untuk juga menyertakan tindakan iam:ListMFADeviceTags

Untuk menggunakan kebijakan ini, ganti <MFATokenID> dengan nama perangkat MFA virtual yang tandanya perlu dikelola. Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan menggunakan editor JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListMFADeviceTags",
        "iam:TagMFADevice"
    ],
    "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>"
}

Atau, Anda dapat menggunakan kebijakan AWS terkelola seperti IAM FullAccess untuk menyediakan akses penuh ke IAM.

Mengelola tag pada perangkat MFA virtual (AWS CLI atau AWS API)

Anda dapat membuat daftar, melampirkan, atau menghapus tanda untuk perangkat MFA virtual. Anda dapat menggunakan AWS CLI atau AWS API untuk mengelola tag untuk perangkat MFA virtual.

Untuk mencantumkan tag yang saat ini dilampirkan ke perangkat MFA virtual (AWS CLI atau AWS API)
Untuk melampirkan tag ke perangkat MFA virtual (AWS CLI atau AWS API)
Untuk menghapus tag dari perangkat MFA virtual (AWS CLI atau AWS API)

Untuk informasi tentang melampirkan tag ke sumber daya untuk AWS layanan lain, lihat dokumentasi untuk layanan tersebut.

Untuk informasi tentang menggunakan tag untuk mengatur lebih banyak izin granular dengan kebijakan izin, lihat Elemen kebijakan IAM: Variabel dan tag.