Tag per AWS Identity and Access Management le risorse

Un tag è un'etichetta di attributi personalizzata assegnata a una risorsa AWS . Ogni tag è costituito da due parti:

• Una chiave di tag (ad esempio, CostCenter, Environment, Project o Purpose).

• Un campo facoltativo noto come valore del tag (ad esempio, 111122223333, Production o un nome di team). Non specificare il valore del tag equivale a utilizzare una stringa vuota.

Tutti questi sono noti come coppie chiave-valore. Per i limiti sul numero di tag che è possibile avere sulle risorse IAM, consulta IAM e AWS STS quote.

Nota

Per dettagli sulla distinzione tra maiuscole e minuscole per le chiavi dei tag e i valori delle chiavi dei tag, consulta Case sensitivity.

I tag ti aiutano a identificare e organizzare AWS le tue risorse. Molti AWS servizi supportano l'etichettatura, quindi puoi assegnare lo stesso tag a risorse di servizi diversi per indicare che le risorse sono correlate. Ad esempio, è possibile assegnare lo stesso tag a un ruolo IAM che si assegna a un bucket Amazon S3. Per ulteriori informazioni sulle strategie di tagging, consulta la Guida per l'utente delle risorse di etichettatura AWS.

Oltre a identificare, organizzare e monitorare le risorse IAM con i tag, puoi usare i tag nelle policy IAM per controllare chi può visualizzare e interagire con le risorse. Per ulteriori informazioni sull'uso dei tag per controllare l'accesso, consulta Controllo dell'accesso a e per utenti e ruoli IAM mediante i tag.

Puoi anche utilizzare i tag AWS STS per aggiungere attributi personalizzati quando assumi un ruolo o federi un utente. Per ulteriori informazioni, consulta Passa i tag di sessione AWS STS.

Argomenti

• Scegli una convenzione di denominazione dei AWS tag

• Regole per l'etichettatura in IAM e AWS STS

• Aggiungere tag agli utenti IAM

• Aggiungere tag ai ruoli IAM

• Aggiungere tag alle policy gestite dal cliente

• Aggiungere tag ai provider di identità OpenID Connect (OIDC)

• Aggiungere tag ai provider di identità SAML per IAM

• Aggiunta di tag ai profili dell'istanza per i ruoli Amazon EC2

• Aggiungere tag ai certificati server

• Aggiungere tag ai dispositivi MFA virtuali

• Passa i tag di sessione AWS STS

Scegli una convenzione di denominazione dei AWS tag

Quando si inizia a collegare tag alle risorse IAM, scegli attentamente la convenzione di denominazione dei tag. Applica la stessa convenzione a tutti i AWS tag. Ciò è particolarmente importante se si utilizzano i tag nelle politiche per controllare l'accesso alle AWS risorse. Se utilizzi già tag in AWS, rivedi la convenzione di denominazione e modificala di conseguenza.

Nota

Se il tuo account è membro di AWS Organizations, consulta le politiche relative ai tag nella guida per l' AWS Organizations utente per ulteriori informazioni sull'utilizzo dei tag in AWS Organizations.

Best practice per la denominazione dei tag

Di seguito sono riportate alcune best practice e convenzioni di denominazione per i tag.

Assicurati che i nomi dei tag vengano utilizzati in modo coerente. Ad esempio, i tag CostCenter e costcenter sono diversi, pertanto uno potrebbe essere configurato come tag di allocazione dei costi per l'analisi e il report finanziario mentre l'altro no. Analogamente, il Name tag viene visualizzato nella AWS Console per molte risorse, ma non lo è. name Per dettagli sulla distinzione tra maiuscole e minuscole per le chiavi dei tag e i valori delle chiavi dei tag, consulta Case sensitivity.

Alcuni tag sono predefiniti AWS o creati automaticamente da vari AWS servizi. Molti nomi AWS di tag definiti utilizzano solo lettere minuscole, con trattini che separano le parole nel nome e prefissi per identificare il servizio di origine del tag. Esempio:

• aws:ec2spot:fleet-request-ididentifica l'Amazon EC2 Spot Instance Request che ha avviato l'istanza.

• aws:cloudformation:stack-nameidentifica lo CloudFormation stack che ha creato la risorsa.

• elasticbeanstalk:environment-name identifica l'applicazione che ha creato la risorsa.

Prendi in considerazione la possibilità di assegnare un nome ai tag utilizzando tutte lettere minuscole, con trattini che separano le parole e un prefisso che identifichi il nome dell'organizzazione o il nome abbreviato. Ad esempio, per una società fittizia denominata AnyCompany, è possibile definire tag come:

• anycompany:cost-center per identificare il codice interno del centro di costo

• anycompany:environment-type per identificare se l'ambiente è in fase di sviluppo, test o produzione

• anycompany:application-id per identificare l'applicazione per cui è stata creata la risorsa

Il prefisso garantisce che i tag siano chiaramente identificati come definiti dall'organizzazione e non da AWS uno strumento di terze parti che potreste utilizzare. L'uso di tutte le lettere minuscole con i trattini per i separatori evita confusione su come scrivere il nome di un tag. Ad esempio, anycompany:project-id è più semplice da ricordare rispetto ANYCOMPANY:ProjectID, anycompany:projectID oppure Anycompany:ProjectId.

Regole per l'etichettatura in IAM e AWS STS

Un certo numero di convenzioni regola la creazione e l'applicazione di tag in IAM e AWS STS.

Denominazione di tag

Osserva le seguenti convenzioni quando formuli una convenzione di denominazione dei tag per risorse IAM, sessioni di assunzione di AWS STS ruoli e sessioni utente federate: AWS STS

Requisiti per i caratteri: chiavi e valori di tag possono includere qualsiasi combinazione di lettere, numeri, spazi e simboli _ . : / = + - @.

Distinzione tra maiuscole e minuscole: la distinzione tra maiuscole e minuscole per le chiavi di tag varia a seconda del tipo di risorsa IAM taggata. I valori chiave dei tag per utenti e ruoli IAM non distingue tra maiuscole e minuscole, anche se questi caratteri vengono mantenuti. Questo significa che non è possibile avere le chiavi di tag Department e department separate. Se hai assegnato a un utente il tag Department=finance e aggiungi il tag department=hr, quest'ultimo sostituirà il primo tag. Non viene aggiunto un secondo tag.

Per gli altri tipi di risorse IAM, i valori della chiave di tag fanno distinzione tra maiuscole e minuscole. Questo significa che è possibile avere chiavi di tag Costcenter e costcenter separate. Ad esempio, se sono stati applicati i tag a una policy gestita dal cliente con il tag Costcenter = 1234 e si aggiunge il tag costcenter = 5678, il criterio avrà entrambe le chiavi di tag Costcenter e costcenter.

Come best practice, si consiglia di evitare l'uso di tag simili con un'applicazione di maiuscole e minuscole non coerente. Consigliamo di definire una strategia per l'uso delle lettere maiuscole e minuscole nei tag e implementarla in modo coerente per tutti i tipi di risorse. Per ulteriori informazioni sulle migliori pratiche per l'etichettatura, consulta Tagging Resources in. AWS Riferimenti generali di AWS

Negli elenchi seguenti vengono illustrate le differenze nella distinzione tra maiuscole e minuscole per le chiavi di tag associate alle risorse IAM.

I valori delle chiavi tag non fanno distinzione tra maiuscole e minuscole:

• Ruoli IAM

• Utenti IAM

Le chiavi e i valori fanno distinzione tra maiuscole e minuscole.

• Policy gestite dal cliente

• Profili delle istanze

• Provider di identità OpenID Connect

• Provider di identità SAML

• Certificati server

• Dispositivi MFA virtuali

Inoltre, valgono le seguenti regole:

• Non è possibile creare una chiave o un valore di tag che inizi con il testo aws:. Questo prefisso di tag è riservato per AWS uso interno.

• È possibile creare un tag con un valore vuoto, ad esempio phoneNumber = . Non è possibile creare una chiave di tag vuota.

• Non è possibile specificare più valori in un singolo tag, ma è possibile creare una struttura multivalore personalizzata nel singolo valore. Ad esempio, supponiamo che l'utente Zhang lavori nel team di progettazione e nel team di QA. Se colleghi il tag team = Engineering e poi colleghi il tag team = QA, modifichi il valore del tag da Engineering a QA. Al contrario, è possibile includere più valori in un singolo tag con un separatore personalizzato. In questo esempio, è possibile collegare il tag team = Engineering:QA a Zhang.

  Nota

  Per controllare l'accesso al team di progettazione in questo esempio utilizzando il tag team, è necessario creare una policy che consenta ogni configurazione che potrebbe includere Engineering, tra cui Engineering:QA. Per ulteriori informazioni sull'utilizzo dei tag nelle policy, consulta Controllo dell'accesso a e per utenti e ruoli IAM mediante i tag.

Applicazione e modifica di tag

Osserva le seguenti convenzioni quando applichi i tag alle risorse IAM:

• Puoi applicare tag alla maggior parte delle risorse IAM, ma non a gruppi, ruoli assunti, report di accesso o dispositivi MFA basati su hardware.

• Non è possibile utilizzare l'editor di tag per applicare i tag alle risorse IAM. L'editor di tag non supporta i tag IAM. Per ulteriori informazioni sull'utilizzo dell'editor di tag con altri servizi, consulta l'articolo relativo all'utilizzo dell'editor di tag nella Guida per l'utente della AWS Resource Groups .

• Per aggiungere i tag a una risorsa IAM, devi disporre di autorizzazioni specifiche. Per applicare o rimuovere i tag dalle risorse, è necessario disporre anche dell'autorizzazione per elencare i tag. Per ulteriori informazioni, consulta l'elenco degli argomenti relativi a ciascuna risorsa IAM alla fine di questa pagina.

• Il numero e la dimensione delle risorse IAM in un AWS account sono limitati. Per ulteriori informazioni, consulta IAM e AWS STS quote.

• Puoi applicare lo stesso tag a più risorse IAM. Ad esempio, si supponga di avere un reparto denominato AWS_Development con 12 membri. È possibile avere 12 utenti e un ruolo con department come chiave del tag e awsDevelopment come valore (department = awsDevelopment). Puoi inoltre utilizzare lo stesso tag su risorse in altri servizi che supportano il tagging.

• Le entità IAM (utenti o ruoli) non possono avere più istanze della stessa chiave di tag. Ad esempio, se disponi di un utente con la coppia chiave-valore del tag costCenter = 1234, puoi collegare la coppia chiave-valore del tag costCenter = 5678. IAM aggiorna il valore del tag costCenter a 5678.

• Per modificare un tag collegato a un'entità IAM (utente o ruolo), collega un tag con un nuovo valore per sovrascrivere il tag esistente. Ad esempio, supponiamo che tu disponga di un utente con la coppia chiave-valore del tag department = Engineering. Se devi spostare l'utente nel reparto QA, puoi collegare la coppia chiave-valore del tag department = QA all'utente. In questo modo il valore Engineering della chiave di tag department viene sostituito con il valore QA.