IAM 리소스 태깅 - AWS Identity and Access Management

IAM 리소스 태깅

태그는 사용자 또는 AWS 리소스에 할당할 수 있는 사용자 지정 속성 레이블입니다. 각 태그에는 다음 두 가지 부분이 있습니다.

  • 태그 키(예: CostCenter, Environment, Project 또는 Purpose). 태그 키는 대/소문자를 구별합니다.

  • 태그 값(예: 111122223333, Production 또는 팀 이름)으로 알려진 선택적 필드. 태그 값을 생략하는 것은 빈 문자열을 사용하는 것과 같습니다. 태그 키처럼 태그 값은 대/소문자를 구별합니다.

태그 키와 태그 값을 합해서 키-값 페어라고 합니다. IAM 리소스에 사용할 수 있는 태그 수에 대한 제한은 IAM 및 AWS STS 할당량 섹션을 참조하세요.

태그를 사용하면 AWS 리소스를 식별하고 구성하는 데 도움이 됩니다. 많은 AWS 서비스가 태그 지정을 지원하므로 다른 서비스의 리소스에 동일한 태그를 할당하여 해당 리소스의 관련 여부를 나타낼 수 있습니다. 예를 들어 Amazon S3 버킷에 할당한 것과 동일한 태그를 IAM 역할에 할당할 수 있습니다. 태깅 전략에 대한 자세한 내용은 AWS General Reference 안내서AWS 리소스 태그 지정을 참조하세요.

태그로 IAM 리소스를 식별, 구성 및 추적하는 것 외에도 IAM 정책의 태그를 사용하여 리소스를 보고 상호 작용할 수 있는 사용자를 제어할 수 있습니다. 태그를 사용하여 액세스를 제어하는 방법에 대한 자세한 내용은 태그를 사용하여 IAM 사용자 및 역할에 대한 액세스 제어 단원을 참조하십시오.

역할을 수임하거나 사용자를 연동할 때 AWS STS에서 태그를 사용하여 사용자 지정 속성을 추가할 수도 있습니다. 자세한 내용은 AWS STS에서 세션 태그 전달 섹션을 참조하세요.

AWS 태그 이름 지정 규칙 선택

IAM 리소스에 태그 연결을 시작할 때 태그 이름 지정 규칙을 신중하게 선택합니다. 모든 AWS 태그에 동일한 규칙을 적용합니다. 정책에서 태그를 사용하여 AWS 리소스에 대한 액세스를 제어하는 경우 특히 중요합니다. AWS에서 태그를 이미 사용하고 있다면 이름 지정 규칙을 검토하고 적절하게 조정하십시오. 태그 지정 사용 사례 및 모범 사례를 보려면 태그 지정 모범 사례 백서를 다운로드하십시오.

IAM 및 AWS STS의 태그 지정 규칙

IAM 및 AWS STS에서 태그의 생성과 적용을 관리하는 규칙은 여러 가지가 있습니다.

태그 이름 지정

IAM 리소스, AWS STS 역할 수임 세션 및 AWS STS 연동 사용자 세션에 대한 태그 이름 지정 규칙을 공식화하는 경우 다음 규칙을 준수합니다.

문자 요구 사항s – 태그 키 및 값은 문자, 숫자, 공백 및 _ . : / = + - @ 기호를 포함할 수 있습니다.

대소문자 구분 – 태그 키의 대소문자 구분은 태깅된 IAM 리소스의 유형에 따라 다릅니다. IAM 사용자 및 역할의 태그 키 값은 대소문자를 구분하지 않지만 대소문자는 유지됩니다. 즉, 별도의 Departmentdepartment 태그 키를 가질 수 없음을 의미합니다. Department=finance 태그로 사용자 태그를 지정하고 department=hr 태그를 추가하면 첫 번째 태그가 바뀝니다. 두 번째 태그는 추가되지 않습니다.

다른 IAM 리소스 유형의 경우 태그 키 값은 대소문자를 구분합니다. 즉, Costcenter 태그 키와 costcenter 태그 키를 별도로 지정할 수 있습니다. 예를 들어 고객 관리형 정책에 Costcenter = 1234 태그를 지정하고 costcenter = 5678 태그를 추가하면 정책에는 Costcentercostcenter 태그 키가 모두 포함됩니다.

모범 사례로서, 대소문자가 일치하지 않는 유사한 태그를 사용하지 않는 것이 좋습니다. 태그를 대문자로 사용하는 전략을 세우고 이러한 전략을 모든 리소스 유형에 대해 일관되게 구현하는 것이 좋습니다. 태깅 모범 사례에 대한 자세한 내용은 AWS General Reference에서 AWS 리소스 태깅을 참조하세요.

다음 목록은 IAM 리소스에 연결된 태그 키의 대소문자 구분 차이점을 보여 줍니다.

태그 키 값이 대소문자를 구분하지 않습니다 .

  • IAM 역할

  • IAM 사용자

태그 키 값이 대소문자를 구분합니다.

  • 고객 관리형 정책

  • 인스턴스 프로파일

  • OpenID Connect 자격 증명 공급자

  • SAML 자격 증명 공급자

  • 서버 인증서

  • 가상 MFA 디바이스

또한 다음 규칙이 적용됩니다.

  • aws:로 시작하는 태그 키 또는 값을 생성할 수 없습니다. 이 태그 접두사는 AWS 내부용으로 예약되어 있습니다.

  • phoneNumber = 와 같이 값이 비어 있는 태그를 만들 수 있습니다. 빈 태그 키는 생성할 수 없습니다.

  • 단일 태그에 여러 값을 지정할 수 없지만 단일 값으로 사용자 지정 다중 값 구조를 생성할 수 있습니다. 예를 들어 사용자 Zhang이 엔지니어링 팀과 QA 팀에서 근무한다고 가정합니다. team = Engineering 태그를 연결하고 team = QA 태그를 연결한 경우 태그 값을 Engineering에서 QA로 변경합니다 . 대신 사용자 지정 구분자를 사용하여 단일 태그에 여러 값을 포함할 수 있습니다. 이 예에서는 Zhang에게 team = Engineering:QA 태그를 연결할 수 있습니다.

    참고

    이 예제에서 team 태그를 사용하여 엔지니어에 대한 액세스를 제어하려면 Engineering:QA를 포함하여 Engineering을 포함할 수 있는 모든 구성을 허용하는 정책을 만들어야 합니다. 정책에서의 태그 사용에 대한 자세한 내용은 태그를 사용하여 IAM 사용자 및 역할에 대한 액세스 제어 단원을 참조하십시오.

태그 적용 및 편집

태그를 IAM 리소스에 연결할 때는 다음 규칙을 준수합니다.

  • 대부분의 IAM 리소스를 태깅할 수 있지만 수임한 역할, 액세스 보고서, 하드웨어 기반 또는 SMS MFA 디바이스는 태깅할 수 있습니다.

  • Tag Editor를 사용하여 IAM 리소스에 태그를 지정할 수 없습니다. Tag Editor는 IAM 태그를 지원하지 않습니다. Tag Editor를 다른 서비스와 함께 사용하는 방법에 대한 내용은 AWS Resource Groups 사용 설명서에서 Tag Editor 작업 섹션을 참조하세요.

  • IAM 리소스를 태깅하려면 특정 권한이 있어야 합니다. 리소스를 태깅하거나 태깅 해제하려면 태그를 나열할 수 있는 권한이 있어야 합니다. 자세한 내용은 이 페이지 끝에 있는 각 IAM 리소스에 대한 주제 목록을 참조하세요.

  • AWS 계정의 IAM 리소스 수와 크기는 제한되어 있습니다. 자세한 내용은 IAM 및 AWS STS 할당량 단원을 참조하세요.

  • 여러 IAM 리소스에 동일한 태그를 적용할 수 있습니다. 예를 들어, 12명의 구성원이 있는 AWS_Development라고 이름이 지정된 부서가 있다고 가정합니다. 태그 키 department 및 값 awsDevelopment(department = awsDevelopment)를 가진 12명의 사용자와 역할이 있을 수 있습니다. 태그 지정을 지원하는 다른 서비스의 리소스에도 동일한 태그를 사용할 수 있습니다.

  • IAM 리소스(사용자 또는 역할)는 동일한 태그 키의 여러 인스턴스를 가질 수 없습니다. 예를 들어 태그 키-값 페어 costCenter = 1234가 지정된 사용자가 있는 경우 태그 키값 페어 costCenter = 5678을 연결할 수 있습니다. IAM은 costCenter 태그의 값을 5678로 업데이트합니다.

  • IAM 엔터티(사용자 또는 역할)에 연결된 태그를 편집하려면 새 값으로 태그를 연결하여 기존 태그를 덮어씁니다. 예를 들어, 태그 키-값 페어 department = Engineering을 가진 사용자가 있다고 가정합니다. 사용자를 QA 부서로 이동해야 하는 경우 department = QA 태그 키-값 페어를 사용자에게 연결할 수 있습니다. 결과적으로 department 태그 키의 Engineering 값이 QA 값으로 대체됩니다.