Marcar certificados de servidor - AWS Identity and Access Management
Permissões necessárias para marcar certificados de servidorGerenciar tags em certificados de servidor (AWS CLI ou API da AWS)

Marcar certificados de servidor

Se você usar o IAM para gerenciar certificados SSL/TLS, poderá etiquetar os certificados do servidor no IAM usando AWS CLI ou a API da AWS. Para certificados em uma região compatível com AWS Certificate Manager (ACM), recomendamos que você use o ACM em vez do IAM para provisionar, gerenciar e implantar seus certificados de servidor. Nas regiões sem suporte, você deve usar o IAM como gerenciador de certificados. Para saber quais regiões são compatíveis com o ACM, consulte Cotas e endpoints do AWS Certificate Manager na Referência geral da AWS.

Você pode usar pares de chave-valor de etiqueta do IAM para adicionar atributos personalizados a um certificado de servidor. Por exemplo, para adicionar informações sobre o proprietário ou administrador de um certificado de servidor, adicione a chave de tag owner e o valor de tag net-eng. Ou você pode especificar um centro de custo adicionando a chave de tag CostCenter e o valor de tag 1234. Você pode usar tags para controlar o acesso a recursos ou controlar quais tags podem ser associadas a um recurso. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.

Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para ter mais informações, consulte Passar tags de sessão no AWS STS.

Permissões necessárias para marcar certificados de servidor

Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM etiquete certificados de servidor. Você pode especificar uma ou todas as seguintes de etiqueta do IAM em uma política do IAM:

  • iam:ListServerCertificateTags

  • iam:TagServerCertificate

  • iam:UntagServerCertificate

Para permitir que uma entidade (usuário ou função) do IAM adicione, liste ou remova uma etiqueta em um certificado de servidor

Adicione a seguinte instrução à política de permissões para a entidade do IAM que precisa gerenciar etiquetas. Use o número da sua conta e substitua <CertificateName> pelo nome do certificado de servidor cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas usando o editor de JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListServerCertificateTags",
        "iam:TagServerCertificate",
        "iam:UntagServerCertificate"
    ],
    "Resource": "arn:aws:iam::<account-number>:server-certificate/<CertificateName>"
}
Para permitir que uma entidade (usuário ou função) do IAM adicione uma etiqueta a um certificado de servidor específico

Adicione a instrução a seguir à política de permissões da entidade do IAM que precisa adicionar, mas não remover, etiquetas em um certificado de servidor específico.

nota

A ação iam:TagServerCertificate requer que você também inclua a ação iam:ListServerCertificateTags.

Para usar essa política, substitua <CertificateName> pelo nome do certificado de servidor cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas usando o editor de JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListServerCertificateTags",
        "iam:TagServerCertificate"
    ],
    "Resource": "arn:aws:iam::<account-number>:server-certificate/<CertificateName>"
}

Como alternativa, você pode usar uma política gerenciada pela AWS, como IAMFullAccess, para fornecer acesso total ao IAM.

Gerenciar tags em certificados de servidor (AWS CLI ou API da AWS)

Você pode listar, associar ou remover tags em certificados de servidor. Você pode usar a AWS CLI ou a API da AWS para gerenciar tags em certificados de servidor.

Listar tags atualmente associadas a um certificado de servidor (AWS CLI ou API da AWS)
Associar tags a um certificado de servidor (AWS CLI ou API da AWS)
Remover tags de um certificado de servidor (AWS CLI ou API da AWS)

Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.

Para obter informações sobre como usar etiquetas para definir mais permissões detalhadas com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e etiquetas.