Marcar recursos do IAM - AWS Identity and Access Management

Marcar recursos do IAM

Uma tag é um rótulo de atributo personalizado que você pode atribuir a um recurso da AWS. Cada tag tem duas partes:

  • Uma chave de tag (por exemplo CostCenter, Environment, Project ou Purpose). Chaves de tag fazem distinção entre maiúsculas e minúsculas.

  • Um campo opcional conhecido como um valor de tag (por exemplo, 111122223333, Production ou um nome de equipe). Omitir o valor da tag é o mesmo que usar uma string vazia. Como chaves de tag, os valores das tags diferenciam maiúsculas de minúsculas.

Juntos, esses são conhecidos como pares de chave-valor. Para saber o limite do número de tags que você pode ter nos recursos do IAM, consulte IAM e AWS STS cotas.

As tags ajudam a identificar e organizar os recursos da AWS. Muitos serviços da AWS oferecem suporte à marcação para que você possa atribuir a mesma tag a recursos de diferentes serviços para indicar que os recursos estão relacionados. Por exemplo, você pode atribuir a mesma tag a uma função do Amazon S3 que atribui a um bucket do IAM. Para obter mais informações sobre estratégias de marcação, consulte Tagging AWS resources (Marcação de recursos da AWS) no Guia AWS General Reference.

Além de identificar, organizar e acompanhar seus recursos do IAM com tags, você pode usar tags em políticas do IAM para ajudar a controlar quem pode visualizar e interagir com o recurso. Para saber mais sobre como usar tags para controlar o acesso, consulte Controlar o acesso para usuários e funções do IAM usando tags.

Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para obter mais informações, consulte Passar tags de sessão no AWS STS.

Escolher uma convenção de nomenclatura de tag da AWS

Quando começar a associar tags aos usuários do IAM, escolha a convenção de nomenclatura de tags cuidadosamente. Aplique a mesma convenção a todas as tags da AWS. Isso será especialmente importante se você usar tags em políticas para controlar acesso a recursos da AWS. Se você já usa tags em AWS, revise a convenção de nomenclatura e a ajuste de acordo. Para visualizar os casos de uso e as melhores práticas de marcação, faça download do whitepaper Tagging Best Practices.

Regras para marcação no IAM e no AWS STS

Uma série de convenções regem a criação e a aplicação de tags no IAM e AWS STS.

Nomear tags

Observe as seguintes regras ao formular uma convenção de nomenclatura de tags para recursos do IAM, sessões de assumir função do AWS STS e sessões de usuário federado do AWS STS:

Requisitos de caracteres – As chaves e os valores de tag podem incluir qualquer combinação de letras, números, espaços e dos símbolos _ . : / = + - @.

Diferenciação entre maiúsculas e minúsculas – A diferenciação de maiúsculas e minúsculas para chaves de tag difere de acordo com o tipo de recurso do IAM que é marcado. Os valores de chave de tag para usuários e funções do IAM não diferenciam maiúsculas e minúsculas, mas elas são preservadas. Isso significa que você não pode ter chaves de tag Department e department separadas. Se você tiver marcado um usuário com a etiqueta Department=finance e adicionar a etiqueta department=hr, esta substituirá a primeira. Uma segunda tag não é adicionada.

Para outros tipos de recursos do IAM, os valores de chave de tag diferenciam maiúsculas e minúsculas. Isso significa que você pode ter as chaves de tag Costcenter e costcenter. Por exemplo, se você tiver marcado uma política gerenciada pelo cliente com a tag Costcenter = 1234 e adicionar a tag costcenter = 5678, a política terá ambas as chaves de tag Costcenter e costcenter.

Como prática recomendada, recomendamos que você evite usar tags semelhantes com padrões diferentes de maiúsculas e minúsculas. Recomendamos que adote uma estratégia para letras maiúsculas em tags e implemente-a de forma consistente em todos os tipos de recursos. Para saber mais sobre as práticas recomendadas para marcação, consulte Tagging AWS Resources (Marcação de Recursos da AWS) em AWS General Reference.

As listas a seguir mostram as chaves de tag que diferenciam ou não maiúsculas de minúsculas quando associadas a recursos do IAM.

Os valores de chave de tag não diferenciam maiúsculas de minúsculas:

  • Funções do IAM

  • Usuários do IAM

Os valores de chave de tag diferenciam maiúsculas de minúsculas:

  • Políticas gerenciadas pelo cliente

  • Perfis de instância

  • Provedores de identidade do OpenID Connect

  • Provedores de identidade SAML

  • Certificados de servidor

  • Dispositivos MFA virtuais

Além disso, as seguintes regras se aplicam:

  • Você não pode criar uma chave ou um valor de tag que comece com o texto aws:. Esse prefixo de tag está reservado para uso interno da AWS.

  • Você pode criar uma tag com um valor vazio, como phoneNumber = . Você não pode criar uma chave de tag vazia.

  • Você não pode especificar vários valores em uma única tag, mas pode criar uma estrutura multivalor personalizada no valor único. Por exemplo, suponhamos que o usuário Zhang trabalhe na equipe de engenharia e na equipe de controle de qualidade. Se anexar a tag team = Engineering e, em seguida, anexar a tag team = QA, você alterará o valor da tag de Engineering para QA. Em vez disso, você pode incluir vários valores em uma única tag com um separador personalizado. Neste exemplo, você pode anexar a tag team = Engineering:QA a Zhang.

    nota

    Para controlar o acesso a engenheiros neste exemplo usando a tag team, você deve criar uma política que possibilite todas as configurações que possam incluir Engineering, até mesmo Engineering:QA. Para saber mais sobre como usar tags em políticas, consulte Controlar o acesso para usuários e funções do IAM usando tags.

Aplicar e editar tags

Observe as seguintes convenções ao associar tags a recursos do IAM:

  • Você pode marcar a maioria dos recursos do IAM, mas não grupos, funções assumidas, relatórios de acesso, dispositivos baseados em hardware ou dispositivos MFA do SMS.

  • Você não pode usar o Tag Editor para marcar recursos do IAM. O Tag Editor não dá suporte para tags do IAM. Para obter informações sobre como usar o Tag Editor com outros serviços, consulte Working with Tag Editor no Guia do usuário do AWS Resource Groups.

  • Para marcar um recurso do IAM, você deve ter permissões específicas. Para marcar ou desmarcar recursos, você também deve ter permissão para listar tags. Para obter mais informações, consulte a lista de tópicos para cada recurso do IAM no final desta página.

  • O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para obter mais informações, consulte IAM e AWS STS cotas.

  • Você pode aplicar a mesma tag a vários recursos do IAM. Por exemplo, suponha que você tenha um departamento nomeado AWS_Development com 12 membros. É possível ter 12 usuários e uma função com a chave de tag de department e um valor de awsDevelopment (department = awsDevelopment). Você também pode usar a mesma tag em recursos em outros serviços que dão suporte a tags.

  • Entidades (usuários ou funções) do IAM não podem ter várias instâncias da mesma chave de tag. Por exemplo, se você tiver um usuário com o par de chave-valor de tag costCenter = 1234, poderá associar o par de chave-valor de tag costCenter = 5678. O IAM atualiza o valor da tag costCenter para 5678.

  • Para editar uma tag associada a uma entidade (usuário ou função) do IAM, associe uma tag com um novo valor para substituir a tag existente. Por exemplo, suponhamos que você tenha um usuário com o par de chave-valor de tag department = Engineering. Se precisar mover o usuário para o departamento de controle de qualidade, você poderá associar o par de chave-valor de tag department = QA a ele. Isso resulta na substituição do Engineering valor da chave de tag department pelo valor QA.