Permissões necessárias para etiquetar provedores de identidade OIDC do IAM Gerenciamento de etiquetas em provedores de identidade OIDC do IAM (console)Gerenciamento de etiquetas em provedores de identidade OIDC do IAM (AWS CLI ou API da AWS)

Marcar provedores de identidades OpenID Connect (OIDC)

Você pode usar chaves-valores de etiqueta do IAM para adicionar atributos personalizados a provedores de identidade OpenID Connect (OIDC) do IAM. Por exemplo, para identificar um provedor de identidade OIDC, você pode adicionar a chave de tag google e o valor de tag oidc. Você pode usar tags para controlar o acesso a recursos ou controlar quais tags podem ser associadas a um objeto. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.

Permissões necessárias para etiquetar provedores de identidade OIDC do IAM

Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM etiquete provedores de identidade OIDC do IAM. Você pode especificar uma ou todas as seguintes de etiqueta do IAM em uma política do IAM:

iam:ListOpenIDConnectProviderTags
iam:TagOpenIDConnectProvider
iam:UntagOpenIDConnectProvider

Para permitir que uma entidade do IAM adicione, liste ou remova uma etiqueta para um provedor de identidades OIDC do IAM

Adicione a seguinte instrução à política de permissões para a entidade do IAM que precisa gerenciar etiquetas. Use o número da sua conta e substitua <OIDCProviderName> pelo nome do provedor de identidade OIDC cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas usando o editor de JSON.


{
    "Effect": "Allow",
    "Action": [
        "iam:ListOpenIDConnectProviderTags",
        "iam:TagOpenIDConnectProvider",
        "iam:UntagOpenIDConnectProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>"
}

Para permitir que uma entidade (usuário ou função) do IAM adicione uma etiqueta a um provedor de identidade OIDC específico do IAM

Adicione a instrução a seguir à política de permissões da entidade do IAM que precisa adicionar, mas não remover, etiquetas em um provedor de identidade específico.

nota

A ação iam:TagOpenIDConnectProvider requer que você também inclua a ação iam:ListOpenIDConnectProviderTags.

Para usar essa política, substitua <OIDCProviderName> pelo nome do provedor de identidade OIDC cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas usando o editor de JSON.


{
    "Effect": "Allow",
    "Action": [
        "iam:ListOpenIDConnectProviderTags",
        "iam:TagOpenIDConnectProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>"
}

Como alternativa, você pode usar uma política gerenciada pela AWS, como IAMFullAccess, para fornecer acesso total ao IAM.

Gerenciamento de etiquetas em provedores de identidade OIDC do IAM (console)

Você pode gerenciar etiquetas para provedores de identidade OIDC do IAM no AWS Management Console.

Gerenciar tags em provedores de identidade OIDC (console)

Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação do console, escolha Identity providers (Provedores de identidade) e, em seguida, escolha o nome do provedor de identidade que deseja editar.
Escolha a guia Tags e, na seção Tags, selecione Gerenciar tags e, em seguida, conclua uma das seguintes ações:
- Escolha Add tag (Adicionar tag) se o provedor de identidade OIDC ainda não tiver tags ou para adicionar uma nova tag.
- Edite chaves e valores de tag existentes.
- Para remover uma tag, escolha Remove tag (Remover tag).
Em seguida, escolha Salvar alterações.

Gerenciamento de etiquetas em provedores de identidade OIDC do IAM (AWS CLI ou API da AWS)

Você pode listar, anexar ou remover etiquetas em provedores de identidade OIDC do IAM. Você pode usar a AWS CLI ou a API da AWS para gerenciar etiquetas em provedores de identidade OIDC do IAM.

Para listar as etiquetas atualmente anexadas a um provedor de identidade OIDC do IAM (AWS CLI ou AWS API)

AWS CLI: aws iam list-open-id-connect-provider-tags
AWS API: ListOpenIDConnectProviderTags

Para anexar etiquetas a um provedor de identidade OIDC do IAM (AWS CLI ou AWS API)

AWS CLI: aws iam tag-open-id-connect-provider
AWS API: TagOpenIDConnectProvider

Para remover etiquetas de um provedor de identidade OIDC do IAM (AWS CLI ou AWS API)

AWS CLI: aws iam untag-open-id-connect-provider
AWS API: UntagOpenIDConnectProvider

Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.

Para obter informações sobre como usar etiquetas para definir mais permissões detalhadas com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e etiquetas.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Marcar políticas gerenciadas pelo cliente

Marcar provedores de identidades SAML do IAM