Marcar políticas gerenciadas pelo cliente
Você pode usar pares de chave-valor de etiqueta do IAM para adicionar atributos personalizados às políticas gerenciadas pelo cliente. Por exemplo, para marcar uma política com informações de departamento, você pode adicionar a chave de tag Department
e o valor de tag eng
. Ou, talvez você queira marcar políticas para indicar que elas se aplicam a um ambiente específico, como Environment = lab
. Você pode usar tags para controlar o acesso a recursos ou controlar quais tags podem ser associadas a um recurso. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.
Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para ter mais informações, consulte Passar tags de sessão no AWS STS.
Permissões necessárias para marcar políticas gerenciadas pelo cliente
Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM possa etiquetar políticas gerenciadas pelo cliente. Você pode especificar uma ou todas as seguintes de etiqueta do IAM em uma política do IAM:
-
iam:ListPolicyTags
-
iam:TagPolicy
-
iam:UntagPolicy
Para permitir que uma entidade do IAM (usuário ou função) adicione, liste ou remova uma etiqueta para uma política gerenciada pelo cliente
Adicione a seguinte instrução à política de permissões para a entidade do IAM que precisa gerenciar etiquetas. Use o número da sua conta e substitua <policyname>
pelo nome da política cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas usando o editor de JSON.
{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy", "iam:UntagPolicy" ], "Resource": "arn:aws:iam::
<account-number>
:policy/<policyname>
" }
Para permitir que uma entidade do IAM (usuário ou função) adicione uma etiqueta a uma política específica gerenciada pelo cliente
Adicione a instrução a seguir à política de permissões para a entidade do IAM que precisa adicionar, mas não remover, etiquetas para uma política específica.
nota
A ação iam:TagPolicy
requer que você também inclua a ação iam:ListPolicyTags
.
Para usar essa política, substitua <policyname>
pelo nome da política cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas usando o editor de JSON.
{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy" ], "Resource": "arn:aws:iam::
<account-number>
:policy/<policyname>
" }
Como alternativa, você pode usar uma política gerenciada pela AWS, como IAMFullAccess
Gerenciamento de etiquetas em políticas gerenciadas pelo cliente do IAM (console)
Você pode gerenciar etiquetas para políticas gerenciadas pelo cliente do IAM do AWS Management Console.
Gerenciar tags em políticas gerenciadas pelo cliente (console)
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação do console, escolha Policies (Políticas) e, em seguida, escolha o nome da política gerenciada pelo cliente que deseja editar.
-
Escolha a guia Tags e depois escolha Gerenciar tags.
-
Adicione ou remova tags para concluir o conjunto de tags. Em seguida, escolha Salvar alterações.
Gerenciamento de etiquetas em políticas gerenciadas pelo cliente do IAM (AWS CLI ou API da AWS)
Você pode listar, anexar ou remover etiquetas para políticas gerenciadas pelo cliente IAM. Você pode usar a AWS CLI ou a API da AWS para gerenciar etiquetas para políticas gerenciadas pelo cliente do IAM.
Para listar as etiquetas atualmente anexadas a uma política gerenciada pelo cliente do IAM (AWS CLI ou API da AWS)
-
AWS CLI: aws iam list-policy-tags
-
AWS API: ListPolicyTags
Para anexar etiquetas a uma política gerenciada pelo cliente do IAM (AWS CLI ou API da AWS)
-
AWS CLI: aws iam tag-policy
-
AWS API: TagPolicy
Para remover etiquetas de uma política gerenciada pelo cliente do IAM (AWS CLI ou API da AWS)
-
AWS CLI: aws iam untag-policy
-
AWS API: UntagPolicy
Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.
Para obter informações sobre como usar etiquetas para definir mais permissões detalhadas com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e etiquetas.