Tags para recursos do AWS Identity and Access Management
Uma tag é um rótulo de atributo personalizado que você pode atribuir a um recurso da AWS. Cada tag tem duas partes:
-
Uma chave de tag (por exemplo
CostCenter
,Environment
,Project
ouPurpose
). -
Um campo opcional conhecido como um valor de tag (por exemplo,
111122223333
,Production
ou um nome de equipe). Omitir o valor da tag é o mesmo que usar uma string vazia.
Juntos, esses são conhecidos como pares de chave-valor. Para saber os limites do número de etiquetas que você pode ter nos recursos do IAM, consulte IAM e cotas do AWS STS.
nota
Para obter detalhes sobre a distinção entre maiúsculas e minúsculas para chaves de tag e valores de chave de tag, consulte Case sensitivity.
As tags ajudam a identificar e organizar os recursos da AWS. Muitos serviços da AWS oferecem compatibilidade com a marcação para que você possa atribuir a mesma tag a recursos de diferentes serviços para indicar que os recursos estão relacionados. Por exemplo, você pode atribuir a mesma etiqueta a uma função do IAM que você atribui a um bucket do Amazon S3. Para obter mais informações sobre estratégias de marcação, consulte o Guia do usuário de Marcação de recursos da AWS.
Além de identificar, organizar e rastrear seus recursos do IAM com etiquetas, você pode usar etiquetas em políticas do IAM para ajudar a controlar quem pode visualizar e interagir com seus recursos. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.
Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para ter mais informações, consulte Passar tags de sessão no AWS STS.
Tópicos
- Escolher uma convenção de nomenclatura de tag da AWS
- Regras para etiquetar no IAM e no AWS STS
- Marcar usuários do IAM
- Marcar perfis do IAM
- Marcar políticas gerenciadas pelo cliente
- Marcar provedores de identidades OpenID Connect (OIDC)
- Marcar provedores de identidades SAML do IAM
- Marcar perfis de instância para funções do Amazon EC2
- Marcar certificados do servidor
- Marcar dispositivos com MFA virtuais
- Passar tags de sessão no AWS STS
Escolher uma convenção de nomenclatura de tag da AWS
Quando você começar a anexar etiquetas aos seus recursos do IAM, escolha sua convenção de nomenclatura de etiquetas com cuidado. Aplique a mesma convenção a todas as tags da AWS. Isso será especialmente importante se você usar tags em políticas para controlar acesso a recursos da AWS. Se você já usa tags em AWS, revise a convenção de nomenclatura e a ajuste de acordo.
nota
Se a conta for membro do AWS Organizations, consulte Políticas de tag no Guia do Usuário do Organizations para saber mais sobre como usar tags no Organizations.
Práticas recomendadas de nomenclatura de etiquetas
Estas são algumas práticas recomendadas e convenções de nomenclatura para etiquetas.
Certifique-se de que os nomes das tags sejam usados de forma consistente. Por exemplo, as tags CostCenter
e costcenter
são diferentes, então uma pode ser configurado como uma etiqueta de alocação de custos para análise financeira e relatórios e o outra pode não ser. Da mesma forma, a etiqueta Name
aparece no AWS Console para muitos recursos, mas a etiqueta name
não. Para obter detalhes sobre a distinção entre maiúsculas e minúsculas para chaves de tag e valores de chave de tag, consulte Case sensitivity.
Várias etiquetas são predefinidas pela AWS ou criadas automaticamente por diversos serviços da AWS. Muitos nomes de etiquetas definidos pela AWS usam todas as letras minúsculas, com hifens separando palavras no nome e prefixos para identificar o serviço de origem da etiqueta. Por exemplo:
-
aws:ec2spot:fleet-request-id
identifica a solicitação de instância spot do Amazon EC2 que iniciou a instância. -
aws:cloudformation:stack-name
identifica a pilha da AWS CloudFormation que criou o recurso. -
elasticbeanstalk:environment-name
identifica a aplicação que criou o recurso.
Considere nomear suas etiquetas usando todas as letras minúsculas, com hifens separando palavras e um prefixo identificando o nome da organização ou o nome abreviado. Por exemplo, para uma empresa fictícia chamada AnyCompany, seria possível definir etiquetas como:
-
anycompany:cost-center
para identificar o código interno do centro de custos -
anycompany:environment-type
para identificar se o ambiente é de desenvolvimento, teste ou produção -
anycompany:application-id
para identificar a aplicação para a qual o recurso foi criado
O prefixo garante que as etiquetas sejam claramente identificadas como tendo sido definidas pela sua organização, e não por AWS nem por uma ferramenta de terceiros que você possa ter usado. Usar todas as letras minúsculas com hifens para separadores evita confusão sobre como formatar o nome de uma etiqueta em letras maiúsculas. Por exemplo, anycompany:project-id
é mais simples de lembrar do que ANYCOMPANY:ProjectID
, anycompany:projectID
ou Anycompany:ProjectId
.
Regras para etiquetar no IAM e no AWS STS
Uma série de convenções regem a criação e a aplicação de etiquetas no IAM e no AWS STS.
Nomear tags
Observe as seguintes convenções ao formular uma convenção de nomenclatura de etiqueta para recursos do IAM, sessões de assumir função do AWS STS e sessões de usuário federado do AWS STS:
Requisitos de caracteres: as chaves e os valores de etiqueta podem incluir qualquer combinação de letras, números, espaços e dos símbolos _ . : / = + - @.
Diferenciação entre maiúsculas e minúsculas: a diferenciação de maiúsculas e minúsculas para chaves de etiqueta difere de acordo com o tipo de recurso do IAM que é etiquetado. Os valores de chave de etiqueta para usuários e funções do IAM não diferenciam maiúsculas de minúsculas, mas são preservados. Isso significa que você não pode ter chaves de tag Department
e department
separadas. Se você tiver marcado um usuário com a tag Department=finance
e adicionar a tag department=hr
, ela substituirá a primeira. Uma segunda tag não é adicionada.
Para outros tipos de recursos do IAM, os valores de chave de etiqueta diferenciam maiúsculas de minúsculas. Isso significa que você pode ter as chaves de tag Costcenter
e costcenter
. Por exemplo, se você tiver marcado uma política gerenciada pelo cliente com a tag Costcenter = 1234
e adicionar a tag costcenter =
5678
, a política terá ambas as chaves de tag Costcenter
e costcenter
.
Como prática recomendada, recomendamos que você evite usar tags semelhantes com padrões diferentes de maiúsculas e minúsculas. Recomendamos definir uma estratégia para letras maiúsculas em etiquetas e implementá-las de forma consistente em todos os tipos de recursos. Para saber mais sobre as melhores práticas para marcação, consulte Marcar recursos da AWS na Referência geral da AWS.
As listas a seguir mostram as diferenças na distinção entre maiúsculas e minúsculas para chaves de etiqueta que são anexadas aos recursos do IAM.
Os valores de chave de tag não diferenciam maiúsculas de minúsculas:
-
Perfis do IAM
-
usuários do IAM
Os valores de chave de tag diferenciam maiúsculas de minúsculas:
-
Políticas gerenciadas pelo cliente
-
Perfis de instância
-
Provedores de identidade do OpenID Connect
-
Provedores de identidade SAML
-
Certificados de servidor
-
Dispositivos virtuais de MFA
Além disso, as seguintes regras se aplicam:
-
Você não pode criar uma chave ou um valor de tag que comece com o texto
aws:
. Esse prefixo de etiqueta está reservado para uso interno da AWS. -
Você pode criar uma tag com um valor vazio, como
phoneNumber =
. Você não pode criar uma chave de tag vazia. -
Você não pode especificar vários valores em uma única tag, mas pode criar uma estrutura multivalor personalizada no valor único. Por exemplo, suponhamos que o usuário Zhang trabalhe na equipe de engenharia e na equipe de controle de qualidade. Se anexar a tag
team = Engineering
e, em seguida, anexar a tagteam = QA
, você alterará o valor da tag deEngineering
paraQA
. Em vez disso, você pode incluir vários valores em uma única tag com um separador personalizado. Neste exemplo, você pode anexar a tagteam = Engineering:QA
a Zhang.nota
Para controlar o acesso a engenheiros neste exemplo usando a tag
team
, você deve criar uma política que possibilite todas as configurações que possam incluirEngineering
, até mesmoEngineering:QA
. Para saber mais sobre como usar tags em políticas, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.
Aplicar e editar tags
Observe as seguintes convenções ao associar etiquetas a recursos do IAM:
-
Você pode marcar a maioria dos recursos do IAM, mas não grupos, funções assumidas, relatórios de acesso e dispositivos de MFA baseada em hardware.
-
Você não pode usar o Tag Editor para etiquetar recursos do IAM. O Tag Editor não é compatível com etiquetas do IAM. Para obter informações sobre como usar o Tag Editor com outros serviços, consulte Working with Tag Editor no Guia do usuário do AWS Resource Groups.
-
Para etiquetar um recurso do IAM, você deve ter permissões específicas. Para marcar ou desmarcar recursos, você também deve ter permissão para listar tags. Para obter mais informações, consulte a lista de tópicos para cada recurso do IAM no final desta página.
-
O número e o tamanho dos recursos do IAM em uma conta da AWS são limitados. Para ter mais informações, consulte IAM e cotas do AWS STS.
-
Você pode aplicar a mesma etiqueta a vários recursos do IAM. Por exemplo, suponha que você tenha um departamento chamado
AWS_Development
com 12 membros. É possível ter 12 usuários e uma função com a chave de tag dedepartment
e um valor deawsDevelopment
(department = awsDevelopment
). Você também pode usar a mesma tag em recursos em outros serviços que dão suporte a tags. -
Entidades (usuários ou funções) do IAM não podem ter várias instâncias da mesma chave de etiqueta. Por exemplo, se você tiver um usuário com o par de chave-valor de etiqueta
costCenter = 1234
, poderá associar o par de chave-valor da etiquetacostCenter = 5678
. O IAM atualiza o valor da etiquetacostCenter
para5678
. -
Para editar uma etiqueta associada a uma entidade (usuário ou função) do IAM, associe uma etiqueta com um novo valor para substituir a etiqueta existente. Por exemplo, suponhamos que você tenha um usuário com o par de chave-valor de tag
department = Engineering
. Se precisar mover o usuário para o departamento de controle de qualidade, você poderá associar o par de chave-valor de tagdepartment = QA
a ele. Isso resulta na substituição doEngineering
valor da chave de tagdepartment
pelo valorQA
.