Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menandai perangkat MFA virtual
Anda dapat menggunakan pasangan nilai kunci tag IAM untuk menambahkan atribut khusus ke perangkat MFA virtual. Misalnya, untuk menambahkan informasi pusat biaya untuk perangkat MFA virtual pengguna, Anda dapat menambahkan kunci tanda CostCenter
dan nilai tanda 1234
. Anda dapat menggunakan tanda untuk mengontrol akses ke sumber daya atau untuk mengontrol tanda yang dapat dilampirkan ke objek. Untuk mempelajari lebih lanjut tentang penggunaan tag untuk mengontrol akses, lihat Mengontrol akses ke dan untuk pengguna dan peran IAM menggunakan tag.
Anda juga dapat menggunakan tag AWS STS untuk menambahkan atribut kustom saat Anda mengambil peran atau menyatukan pengguna. Untuk informasi selengkapnya, lihat Melewati tag sesi di AWS STS.
Izin yang diperlukan untuk menandai perangkat MFA virtual
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (pengguna atau peran) menandai perangkat MFA virtual. Anda dapat menentukan satu atau semua tindakan tag IAM berikut dalam kebijakan IAM:
-
iam:ListMFADeviceTags
-
iam:TagMFADevice
-
iam:UntagMFADevice
Untuk mengizinkan entitas IAM (pengguna atau peran) menambahkan, membuat daftar, atau menghapus tag untuk perangkat MFA virtual
Tambahkan pernyataan berikut ini ke kebijakan izin untuk entitas IAM yang perlu mengelola tag. Gunakan nomor akun Anda dan ganti <MFATokenID>
dengan nama perangkat MFA virtual yang tandanya perlu dikelola. Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan menggunakan editor JSON.
{ "Effect": "Allow", "Action": [ "iam:ListMFADeviceTags", "iam:TagMFADevice", "iam:UntagMFADevice" ], "Resource": "arn:aws:iam::
<account-number>
:mfa/<MFATokenID>
" }
Untuk mengizinkan entitas IAM (pengguna atau peran) menambahkan tag ke perangkat MFA virtual tertentu
Tambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu menambahkan, tetapi tidak menghapus, tag untuk perangkat MFA tertentu.
catatan
Tindakan iam:TagMFADevice
mengharuskan Anda untuk juga menyertakan tindakan iam:ListMFADeviceTags
Untuk menggunakan kebijakan ini, ganti <MFATokenID>
dengan nama perangkat MFA virtual yang tandanya perlu dikelola. Untuk mempelajari cara membuat kebijakan dengan menggunakan contoh dokumen kebijakan JSON ini, lihat Membuat kebijakan menggunakan editor JSON.
{ "Effect": "Allow", "Action": [ "iam:ListMFADeviceTags", "iam:TagMFADevice" ], "Resource": "arn:aws:iam::
<account-number>
:mfa/<MFATokenID>
" }
Atau, Anda dapat menggunakan kebijakan AWS terkelola seperti IAM FullAccess
Mengelola tag pada perangkat MFA virtual (AWS CLI atau AWS API)
Anda dapat membuat daftar, melampirkan, atau menghapus tanda untuk perangkat MFA virtual. Anda dapat menggunakan AWS CLI atau AWS API untuk mengelola tag untuk perangkat MFA virtual.
Untuk mencantumkan tag yang saat ini dilampirkan ke perangkat MFA virtual (AWS CLI atau AWS API)
-
AWS CLI: aws iam list-mfa-device-tags
-
AWS API: ListMFA DeviceTags
Untuk melampirkan tag ke perangkat MFA virtual (AWS CLI atau AWS API)
-
AWS CLI: aws iam tag-mfa-device
-
AWS API: TagmFADevice
Untuk menghapus tag dari perangkat MFA virtual (AWS CLI atau AWS API)
-
AWS CLI: aws iam untag-mfa-device
-
AWS API: UntagmFADevice
Untuk informasi tentang melampirkan tag ke sumber daya untuk AWS layanan lain, lihat dokumentasi untuk layanan tersebut.
Untuk informasi tentang menggunakan tag untuk mengatur lebih banyak izin granular dengan kebijakan izin, lihat Elemen kebijakan IAM: Variabel dan tag.