Etiquetar funções do IAM - AWS Identity and Access Management

Etiquetar funções do IAM

Você pode usar pares de chave-valor de etiquetas do IAM para adicionar atributos personalizados a uma função do IAM. Por exemplo, para adicionar informações de localização a uma função, você pode adicionar a chave de tag location e o valor de tag us_wa_seattle. Ou você pode usar três pares de chave-valor de tags de locais separados: loc-country = us, loc-state = wa e loc-city = seattle. Você pode usar tags para controlar o acesso de uma função a recursos ou controlar quais tags podem ser associadas a uma função. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.

Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para mais informações, consulte Passar tags de sessão no AWS STS.

Permissões necessárias para etiquetar funções do IAM

Você deve configurar permissões para permitir que uma função do IAM etiquete outras entidades (usuários ou funções). Você pode especificar uma ou todas as seguintes de etiqueta do IAM em uma política do IAM:

  • iam:ListRoleTags

  • iam:TagRole

  • iam:UntagRole

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

Para permitir que uma função do IAM adicione, liste ou remova uma etiqueta para um usuário específico

Adicione a instrução a seguir à política de permissões para a função do IAM que precisa gerenciar etiquetas. Use o número da sua conta e substitua <username> pelo nome do usuário cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam::<account-number>:user/<username>" }

Para permitir que uma função do IAM adicione uma etiqueta para um usuário específico

Adicione a seguinte instrução à política de permissões para a função do IAM que precisa adicionar, mas não remover, etiquetas para um usuário específico.

nota

A ação iam:TagRole requer que você também inclua a ação iam:ListRoleTags.

Para usar essa política, substitua <username> pelo nome do usuário cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam::<account-number>:user/<username>" }

Para permitir que uma função do IAM adicione, liste ou remova uma etiqueta para uma função específica

Adicione a instrução a seguir à política de permissões para a função do IAM que precisa gerenciar etiquetas. Substitua <rolename> pelo nome da função cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListRoleTags", "iam:TagRole", "iam:UntagRole" ], "Resource": "arn:aws:iam::<account-number>:role/<rolename>" }

Como alternativa, você pode usar uma política gerenciada pela AWS, como IAMFullAccess, para fornecer acesso total ao IAM.

Gerenciamento de etiquetas em funções do IAM (console)

Você pode gerenciar etiquetas de funções do IAM no AWS Management Console.

Gerenciar tags em funções (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console, escolha Roles (Funções) e, em seguida, escolha o nome da função que deseja editar.

  3. Escolha a guia Tags e conclua uma das seguintes ações:

    • Escolha Add tags (Adicionar tags) se a função ainda não tiver tags.

    • Escolha Manage tags (Gerenciar tags) para gerenciar o conjunto de tags existente.

  4. Adicione ou remova tags para concluir o conjunto de tags. Depois, escolha Save changes (Salvar alterações).

Gerenciar etiquetas em funções do IAM (AWS CLI ou API da AWS)

Você pode listar, anexar ou remover etiquetas de funções do IAM. Você pode usar a AWS CLI ou a API da AWS para gerenciar etiquetas em funções do IAM.

Para listar as etiquetas atualmente anexadas a uma função do IAM (AWS CLI ou API da AWS)

Para anexar etiquetas a uma função do IAM (AWS CLI ou API da AWS)

Para remover etiquetas de uma função do IAM (AWS CLI ou API da AWS)

Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.

Para obter informações sobre como usar etiquetas para definir mais permissões detalhadas com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e etiquetas.