Autorizzazioni necessarie per applicare i tag alle policy gestite dai clienti Gestione dei tag nelle policy gestiti dal cliente IAM (console)Gestione dei tag sulle politiche gestite dai clienti (AWS CLI o AWS API) IAM

Modifica di politiche gestite dal cliente

È possibile utilizzare le coppie chiave-valore del tag IAM per aggiungere attributi personalizzati alle policy gestite dal cliente. Ad esempio, per applicare un tag a una policy con le informazioni sul reparto, puoi aggiungere la chiave tag Department e il valore tag eng. In alternativa, è possibile contrassegnare i criteri per indicare che si riferiscono a un ambiente specifico, ad esempio Environment = lab. Puoi usare i tag per controllare l'accesso alle risorse o per controllare quali tag possono essere collegati a una risorsa. Per ulteriori informazioni sull'uso dei tag per controllare l'accesso, consulta Controllo dell'accesso a e per utenti e ruoli IAM mediante i tag.

Puoi anche utilizzare i tag AWS STS per aggiungere attributi personalizzati quando assumi un ruolo o federi un utente. Per ulteriori informazioni, consulta Passare i tag di sessione AWS STS.

Autorizzazioni necessarie per applicare i tag alle policy gestite dai clienti

È necessario configurare le autorizzazioni per consentire a un'entità IAM (utenti o ruoli) di applicare i tag alle policy gestite dal cliente. Puoi specificare una o tutte le seguenti operazioni del tag IAM in una policy IAM:

iam:ListPolicyTags
iam:TagPolicy
iam:UntagPolicy

Come consentire a un'entità IAM (utente o ruolo) di aggiungere, elencare o rimuovere un tag per una policy gestita dal cliente

Aggiungi l'istruzione seguente alla policy di autorizzazione per l'entità IAM che deve gestire i tag. Utilizza il tuo numero di account e sostituisci <policyname> con il nome della policy di cui è necessario gestire i tag. Per ulteriori informazioni su come creare una policy utilizzando questo esempio di documento di policy JSON, consultare Creazione di policy utilizzando l'editor JSON.


{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy",
        "iam:UntagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}

Come consentire a un'entità IAM (utente o ruolo) di aggiungere un tag a una determinata policy gestita dal cliente

Aggiungi l'istruzione seguente alla policy di autorizzazione per l'entità IAM che deve aggiungere, ma non rimuovere, i tag per una policy specifica.

Nota

L'azione iam:TagPolicy richiede che tu includa anche l'azione iam:ListPolicyTags.

Per utilizzare questa policy, sostituisci <policyname> con il nome della policy di cui è necessario gestire i tag. Per ulteriori informazioni su come creare una policy utilizzando questo esempio di documento di policy JSON, consultare Creazione di policy utilizzando l'editor JSON.


{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}

In alternativa, puoi utilizzare una policy AWS gestita come IAM FullAccess per fornire l'accesso completo a IAM.

Gestione dei tag nelle policy gestiti dal cliente IAM (console)

Puoi gestire i tag delle policy gestite dal cliente IAM dalla AWS Management Console.

Per gestire i tag nelle policy gestite dal cliente (console)

Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione della console, scegliere Policies (Policy) e selezionare il nome della policy gestita dal cliente che si desidera modificare.
Scegli la scheda Tag, quindi scegli Gestisci tag.
Aggiungere o rimuovere i tag per completare il set di tag. Selezionare quindi Save changes (Salva modifiche).

Gestione dei tag sulle politiche gestite dai clienti (AWS CLI o AWS API) IAM

Puoi elencare, allegare o rimuovere i tag per le policy gestite dal cliente IAM. Puoi utilizzare l'API AWS CLI o l' AWS API per gestire i tag per le politiche gestite dai clienti IAM.

Per elencare i tag attualmente associati a una policy (AWS CLI o AWS API) gestita dai clienti IAM

AWS CLI: era iam list-policy-tags
AWS API: ListPolicyTags

Per allegare tag a una policy (AWS CLI o AWS API) gestita dai clienti IAM

AWS CLI: aws iam tag-policy
AWS API: TagPolicy

Per rimuovere i tag da una policy (AWS CLI o AWS API) gestita dai clienti IAM

AWS CLI: aws iam untag-policy
AWS API: UntagPolicy

Per informazioni su come allegare tag alle risorse per altri AWS servizi, consulta la documentazione relativa a tali servizi.

Per ulteriori informazioni sull'utilizzo di tag per impostare autorizzazioni più granulari con le policy di autorizzazione IAM, consulta Elementi delle policy IAM: variabili e tag.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Tagging di ruoli IAM

Tagging dei provider di identità IAM