Marcar políticas gerenciadas pelo cliente - AWS Identity and Access Management

Marcar políticas gerenciadas pelo cliente

Você pode usar pares de chave-valor de etiqueta do IAM para adicionar atributos personalizados às políticas gerenciadas pelo cliente. Por exemplo, para marcar uma política com informações de departamento, você pode adicionar a chave de tag Department e o valor de tag eng. Ou, talvez você queira marcar políticas para indicar que elas se aplicam a um ambiente específico, como Environment = lab. Você pode usar tags para controlar o acesso a recursos ou controlar quais tags podem ser associadas a um recurso. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.

Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para obter mais informações, consulte Passar tags de sessão no AWS STS.

Permissões necessárias para marcar políticas gerenciadas pelo cliente

Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM possa etiquetar políticas gerenciadas pelo cliente. Você pode especificar uma ou todas as seguintes de etiqueta do IAM em uma política do IAM:

  • iam:ListPolicyTags

  • iam:TagPolicy

  • iam:UntagPolicy

Para permitir que uma entidade do IAM (usuário ou função) adicione, liste ou remova uma etiqueta para uma política gerenciada pelo cliente

Adicione a seguinte instrução à política de permissões para a entidade do IAM que precisa gerenciar etiquetas. Use o número da sua conta e substitua <policyname> pelo nome da política cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy", "iam:UntagPolicy" ], "Resource": "arn:aws:iam:*:<account-number>:policy/<policyname>" }

Para permitir que uma entidade do IAM (usuário ou função) adicione uma etiqueta a uma política específica gerenciada pelo cliente

Adicione a instrução a seguir à política de permissões para a entidade do IAM que precisa adicionar, mas não remover, etiquetas para uma política específica.

nota

A ação iam:TagPolicy requer que você também inclua a ação iam:ListPolicyTags.

Para usar essa política, substitua <policyname> pelo nome da política cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy" ], "Resource": "arn:aws:iam:*:<account-number>:policy/<policyname>" }

Como alternativa, você pode usar uma política gerenciada pela AWS, como IAMFullAccess, para fornecer acesso total ao IAM.

Gerenciamento de etiquetas em políticas gerenciadas pelo cliente do IAM (console)

Você pode gerenciar etiquetas para políticas gerenciadas pelo cliente do IAM do AWS Management Console.

Gerenciar tags em políticas gerenciadas pelo cliente (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console, escolha Policies (Políticas) e, em seguida, escolha o nome da política gerenciada pelo cliente que deseja editar.

  3. Escolha a guia Tags e conclua uma das seguintes ações:

    • Escolha Add tags (Adicionar tags) se a política ainda não tiver tags.

    • Escolha Edit tags (Editar tags) para gerenciar o conjunto de tags existente.

  4. Adicione ou remova tags para concluir o conjunto de tags. Em seguida, escolha Save changes (Salvar alterações).

Gerenciamento de etiquetas em políticas gerenciadas pelo cliente do IAM (AWS CLI ou API da AWS)

Você pode listar, anexar ou remover etiquetas para políticas gerenciadas pelo cliente IAM. Você pode usar a AWS CLI ou a API da AWS para gerenciar etiquetas para políticas gerenciadas pelo cliente do IAM.

Para listar as etiquetas atualmente anexadas a uma política gerenciada pelo cliente do IAM (AWS CLI ou API da AWS)

Para anexar etiquetas a uma política gerenciada pelo cliente do IAM (AWS CLI ou API da AWS)

Para remover etiquetas de uma política gerenciada pelo cliente do IAM (AWS CLI ou API da AWS)

Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.

Para obter informações sobre como usar etiquetas para definir mais permissões detalhadas com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e etiquetas.