Tagging dei profili dell'istanza per i ruoli Amazon EC2 - AWS Identity and Access Management
Autorizzazioni necessarie per il tagging dei profili dell'istanzaGestione dei tag sui profili di istanza (AWS CLI o AWS API)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tagging dei profili dell'istanza per i ruoli Amazon EC2

Quando avvii un'istanza Amazon EC2, devi specificare un ruolo IAM da associare ad essa. Un profilo dell'istanza è un container per un ruolo IAM che puoi utilizzare per inoltrare informazioni sul ruolo a un'istanza Amazon EC2 quando questa viene avviata. Puoi etichettare i profili delle istanze quando usi l' AWS API AWS CLI o.

Puoi utilizzare coppie chiave-valore del tag IAM per aggiungere attributi personalizzati a un profilo dell'istanza. Ad esempio, per aggiungere informazioni di reparto a un profilo di istanza, è possibile aggiungere la chiave tag access-team e il valore tag eng. In questo modo i principali con tag corrispondenti possono accedere ai profili dell'istanza con lo stesso tag. È possibile utilizzare più coppie chiave-valore del tag per specificare un team e un progetto: access-team = eng e project = peg. È possibile usare i tag per controllare l'accesso di un utente alle risorse o per controllare quali tag possono essere collegati a un utente. Per ulteriori informazioni sull'uso dei tag per controllare l'accesso, consulta Controllo dell'accesso a e per utenti e ruoli IAM mediante i tag.

Puoi anche utilizzare i tag AWS STS per aggiungere attributi personalizzati quando assumi un ruolo o federi un utente. Per ulteriori informazioni, consulta Passare i tag di sessione AWS STS.

Autorizzazioni necessarie per il tagging dei profili dell'istanza

Per permettere a un'entità IAM (utente o ruolo) di aggiungere tag ai profili dell'istanza, devi configurare le autorizzazioni. Puoi specificare una o tutte le seguenti operazioni del tag IAM in una policy IAM:

  • iam:ListInstanceProfileTags

  • iam:TagInstanceProfile

  • iam:UntagInstanceProfile

Come consentire a un'entità IAM (utente o ruolo) di aggiungere, elencare o rimuovere un tag per un profilo dell'istanza

Aggiungi l'istruzione seguente alla policy di autorizzazione per l'entità IAM che deve gestire i tag. Usa il tuo numero di account e sostituisci < InstanceProfileName > con il nome del profilo dell'istanza i cui tag devono essere gestiti. Per ulteriori informazioni su come creare una policy utilizzando questo esempio di documento di policy JSON, consultare Creazione di policy utilizzando l'editor JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListInstanceProfileTags",
        "iam:TagInstanceProfile",
        "iam:UntagInstanceProfile"
    ],
    "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>"
}
Come consentire a un'entità IAM (utente o ruolo) di aggiungere un tag a un determinato profilo dell'istanza

Aggiungi l'istruzione seguente alla policy di autorizzazione per l'entità IAM che deve aggiungere, ma non rimuovere, i tag per un determinato profilo dell'istanza.

Nota

L'azione iam:TagInstanceProfile richiede che tu includa anche l'azione iam:ListInstanceProfileTags.

Per utilizzare questa politica, sostituisci < InstanceProfileName > con il nome del profilo dell'istanza i cui tag devono essere gestiti. Per ulteriori informazioni su come creare una policy utilizzando questo esempio di documento di policy JSON, consultare Creazione di policy utilizzando l'editor JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListInstanceProfileTags",
        "iam:TagInstanceProfile"
    ],
    "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>"
}

In alternativa, puoi utilizzare una policy AWS gestita come IAM FullAccess per fornire l'accesso completo a IAM.

Gestione dei tag sui profili di istanza (AWS CLI o AWS API)

È possibile elencare, allegare o rimuovere i tag dei profili dell'istanza. È possibile utilizzare l'API AWS CLI o l' AWS API per gestire i tag, ad esempio i profili.

Per elencare i tag attualmente associati a un profilo di istanza (AWS CLI o AWS API)
Per allegare tag a un profilo di istanza (AWS CLI o AWS API)
Per rimuovere i tag da un profilo di istanza (AWS CLI o AWS API)

Per informazioni su come allegare tag alle risorse per altri AWS servizi, consulta la documentazione relativa a tali servizi.

Per ulteriori informazioni sull'utilizzo di tag per impostare autorizzazioni più granulari con le policy di autorizzazione IAM, consulta Elementi delle policy IAM: variabili e tag.