Recursos de etiquetas do IAM - AWS Identity and Access Management

Recursos de etiquetas do IAM

Uma tag é um rótulo de atributo personalizado que você pode atribuir a um recurso da AWS. Cada tag tem duas partes:

  • Uma chave de tag (por exemplo CostCenter, Environment, Project ou Purpose). Chaves de tag fazem distinção entre maiúsculas e minúsculas.

  • Um campo opcional conhecido como um valor de tag (por exemplo, 111122223333, Production ou um nome de equipe). Omitir o valor da etiqueta é o mesmo que usar uma string vazia. Como chaves de tag, os valores das tags diferenciam maiúsculas de minúsculas.

Juntos, esses são conhecidos como pares de chave-valor. Para saber os limites do número de etiquetas que você pode ter nos recursos do IAM, consulte IAM e cotas, requisitos de nome e limites de caracteres do AWS STS.

As tags ajudam a identificar e organizar os recursos da AWS. Muitos serviços da AWS oferecem suporte à marcação para que você possa atribuir a mesma tag a recursos de diferentes serviços para indicar que os recursos estão relacionados. Por exemplo, você pode atribuir a mesma etiqueta a uma função do IAM que você atribui a um bucket do Amazon S3. Para obter mais informações sobre estratégias de inserção de etiquetas, consulte Etiquetar resources da AWS no Guia de referência geral da AWS.

Além de identificar, organizar e rastrear seus recursos do IAM com etiquetas, você pode usar etiquetas em políticas do IAM para ajudar a controlar quem pode visualizar e interagir com seus recursos. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.

Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para mais informações, consulte Passar tags de sessão no AWS STS.

Escolher uma convenção de nomenclatura de tag da AWS

Quando você começar a anexar etiquetas aos seus recursos do IAM, escolha sua convenção de nomenclatura de etiquetas com cuidado. Aplique a mesma convenção a todas as tags da AWS. Isso será especialmente importante se você usar tags em políticas para controlar acesso a recursos da AWS. Se você já usa tags em AWS, revise a convenção de nomenclatura e a ajuste de acordo.

nota

Se a conta for membro do AWS Organizations, consulte Políticas de tag no Guia do Usuário do Organizations para saber mais sobre como usar tags no Organizations.

Práticas recomendadas de nomenclatura de etiquetas

Estas são algumas práticas recomendadas e convenções de nomenclatura para etiquetas.

Os nomes das etiquetas da AWS diferenciam maiúsculas de minúsculas. Portanto, certifique-se de que elas sejam usadas de forma consistente. Por exemplo, as tags CostCenter e costcenter são diferentes, então uma pode ser configurado como uma etiqueta de alocação de custos para análise financeira e relatórios e o outra pode não ser. Da mesma forma, a etiqueta Name aparece no AWS Console para muitos recursos, mas a etiqueta name não.

Várias etiquetas são predefinidas pela AWS ou criadas automaticamente por diversos serviços da AWS. Muitos nomes de etiquetas definidos pela AWS usam todas as letras minúsculas, com hifens separando palavras no nome e prefixos para identificar o serviço de origem da etiqueta. Por exemplo:

  • aws:ec2spot:fleet-request-id identifica a solicitação de instância spot do Amazon EC2 que iniciou a instância.

  • aws:cloudformation:stack-name identifica a pilha da AWS CloudFormation que criou o recurso.

  • elasticbeanstalk:environment-name identifica a aplicação que criou o recurso.

Considere nomear suas etiquetas usando todas as letras minúsculas, com hifens separando palavras e um prefixo identificando o nome da organização ou o nome abreviado. Por exemplo, para uma empresa fictícia chamada AnyCompany, seria possível definir etiquetas como:

  • anycompany:cost-center para identificar o código interno do centro de custos

  • anycompany:environment-type para identificar se o ambiente é de desenvolvimento, teste ou produção

  • anycompany:application-id para identificar a aplicação para a qual o recurso foi criado

O prefixo garante que as etiquetas sejam claramente identificadas como tendo sido definidas pela sua organização, e não por AWS nem por uma ferramenta de terceiros que você possa ter usado. Usar todas as letras minúsculas com hifens para separadores evita confusão sobre como formatar o nome de uma etiqueta em letras maiúsculas. Por exemplo, anycompany:project-id é mais simples de lembrar do que ANYCOMPANY:ProjectID, anycompany:projectID ou Anycompany:ProjectId.

Regras para etiquetar no IAM e no AWS STS

Uma série de convenções regem a criação e a aplicação de etiquetas no IAM e no AWS STS.

Nomear tags

Observe as seguintes convenções ao formular uma convenção de nomenclatura de etiqueta para recursos do IAM, sessões de assumir função do AWS STS e sessões de usuário federado do AWS STS:

Requisitos de caracteres: as chaves e os valores de etiqueta podem incluir qualquer combinação de letras, números, espaços e dos símbolos _ . : / = + - @.

Diferenciação entre maiúsculas e minúsculas: a diferenciação de maiúsculas e minúsculas para chaves de etiqueta difere de acordo com o tipo de recurso do IAM que é etiquetado. Os valores de chave de etiqueta para usuários e funções do IAM não diferenciam maiúsculas de minúsculas, mas são preservados. Isso significa que você não pode ter chaves de tag Department e department separadas. Se você tiver marcado um usuário com a tag Department=finance e adicionar a tag department=hr, ela substituirá a primeira. Uma segunda tag não é adicionada.

Para outros tipos de recursos do IAM, os valores de chave de etiqueta diferenciam maiúsculas de minúsculas. Isso significa que você pode ter as chaves de tag Costcenter e costcenter. Por exemplo, se você tiver marcado uma política gerenciada pelo cliente com a tag Costcenter = 1234 e adicionar a tag costcenter = 5678, a política terá ambas as chaves de tag Costcenter e costcenter.

Como prática recomendada, recomendamos que você evite usar tags semelhantes com padrões diferentes de maiúsculas e minúsculas. Recomendamos definir uma estratégia para letras maiúsculas em etiquetas e implementá-las de forma consistente em todos os tipos de recursos. Para saber mais sobre as práticas recomendadas de uso de etiquetas, consulte Tagging AWS Resources (Etiquetar recursos da AWS) na Referência geral da AWS.

As listas a seguir mostram as diferenças na distinção entre maiúsculas e minúsculas para chaves de etiqueta que são anexadas aos recursos do IAM.

Os valores de chave de tag não diferenciam maiúsculas de minúsculas:

  • Perfis do IAM

  • Usuários do IAM

Os valores de chave de tag diferenciam maiúsculas de minúsculas:

  • Políticas gerenciadas pelo cliente

  • Perfis de instância

  • Provedores de identidade do OpenID Connect

  • Provedores de identidade SAML

  • Certificados de servidor

  • Dispositivos MFA virtuais

Além disso, as seguintes regras se aplicam:

  • Você não pode criar uma chave ou um valor de tag que comece com o texto aws:. Esse prefixo de etiqueta está reservado para uso interno da AWS.

  • Você pode criar uma tag com um valor vazio, como phoneNumber = . Você não pode criar uma chave de tag vazia.

  • Você não pode especificar vários valores em uma única tag, mas pode criar uma estrutura multivalor personalizada no valor único. Por exemplo, suponhamos que o usuário Zhang trabalhe na equipe de engenharia e na equipe de controle de qualidade. Se anexar a tag team = Engineering e, em seguida, anexar a tag team = QA, você alterará o valor da tag de Engineering para QA. Em vez disso, você pode incluir vários valores em uma única tag com um separador personalizado. Neste exemplo, você pode anexar a tag team = Engineering:QA a Zhang.

    nota

    Para controlar o acesso a engenheiros neste exemplo usando a tag team, você deve criar uma política que possibilite todas as configurações que possam incluir Engineering, até mesmo Engineering:QA. Para saber mais sobre como usar tags em políticas, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.

Aplicar e editar tags

Observe as seguintes convenções ao associar etiquetas a recursos do IAM:

  • Você pode marcar a maioria dos recursos do IAM, mas não grupos, funções assumidas, relatórios de acesso e dispositivos de MFA baseada em hardware.

  • Você não pode usar o Tag Editor para etiquetar recursos do IAM. O Tag Editor não é compatível com etiquetas do IAM. Para obter informações sobre como usar o Tag Editor com outros serviços, consulte Working with Tag Editor no Guia do usuário do AWS Resource Groups.

  • Para etiquetar um recurso do IAM, você deve ter permissões específicas. Para marcar ou desmarcar recursos, você também deve ter permissão para listar tags. Para obter mais informações, consulte a lista de tópicos para cada recurso do IAM no final desta página.

  • O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para mais informações, consulte IAM e cotas, requisitos de nome e limites de caracteres do AWS STS.

  • Você pode aplicar a mesma etiqueta a vários recursos do IAM. Por exemplo, suponha que você tenha um departamento chamado AWS_Development com 12 membros. É possível ter 12 usuários e uma função com a chave de tag de department e um valor de awsDevelopment (department = awsDevelopment). Você também pode usar a mesma tag em recursos em outros serviços que dão suporte a tags.

  • Entidades (usuários ou funções) do IAM não podem ter várias instâncias da mesma chave de etiqueta. Por exemplo, se você tiver um usuário com o par de chave-valor de etiqueta costCenter = 1234, poderá associar o par de chave-valor da etiqueta costCenter = 5678. O IAM atualiza o valor da etiqueta costCenter para 5678.

  • Para editar uma etiqueta associada a uma entidade (usuário ou função) do IAM, associe uma etiqueta com um novo valor para substituir a etiqueta existente. Por exemplo, suponhamos que você tenha um usuário com o par de chave-valor de tag department = Engineering. Se precisar mover o usuário para o departamento de controle de qualidade, você poderá associar o par de chave-valor de tag department = QA a ele. Isso resulta na substituição do Engineering valor da chave de tag department pelo valor QA.