Etiquetar usuários do IAM - AWS Identity and Access Management

Etiquetar usuários do IAM

Você pode usar pares de chave-valor de etiqueta do IAM para adicionar atributos personalizados a um usuário do IAM. Por exemplo, para adicionar informações de localização a um usuário, você pode adicionar a chave de tag location e o valor de tag us_wa_seattle. Ou você pode usar três pares de chave-valor de tags de locais separados: loc-country = us, loc-state = wa e loc-city = seattle. Você pode usar tags para controlar o acesso de um usuário a recursos ou controlar quais tags podem ser associadas a um usuário. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.

Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para obter mais informações, consulte Passar tags de sessão no AWS STS.

Permissões necessárias para etiquetar usuários do IAM

Você deve configurar permissões para permitir que um usuário do IAM possa etiquetar outros usuários. Você pode especificar uma ou todas as seguintes de etiqueta do IAM em uma política do IAM:

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

Permitir que um usuário do IAM adicione, liste ou remova uma etiqueta para um usuário específico

Adicione a instrução a seguir à política de permissões do usuário do IAM que precisa gerenciar etiquetas. Use o número da sua conta e substitua <username> pelo nome do usuário cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

Para permitir que um usuário do IAM autogerencie etiquetas

Adicione a seguinte instrução à política de permissões para que usuários permitam que outros gerenciem as próprias tags. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:user/${aws:username}" }

Para permitir que um usuário do IAM adicione uma etiqueta a um usuário específico

Adicione a seguinte instrução à política de permissões para o usuário do IAM que precisa adicionar, mas não remover, etiquetas para um usuário específico.

nota

A ação iam:TagUser requer que você também inclua a ação iam:ListUserTags.

Para usar essa política, substitua <username> pelo nome do usuário cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

Como alternativa, você pode usar uma política gerenciada pela AWS, como IAMFullAccess, para fornecer acesso total ao IAM.

Gerenciamento de etiquetas em usuários do IAM (console)

Você pode gerenciar etiquetas de usuários do IAM no AWS Management Console.

Gerenciar tags em usuários (console)

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console, escolha Users (usuários) e, em seguida, escolha o nome do usuário que deseja editar.

  3. Escolha a guia Tags e conclua uma das seguintes ações:

    • Escolha Add tags (Adicionar tags) se o usuário ainda não tiver tags.

    • Escolha Edit tags (Editar tags) para gerenciar o conjunto de tags existente.

  4. Adicione ou remova tags para concluir o conjunto de tags. Em seguida, escolha Save changes (Salvar alterações).

Gerenciamento de etiquetas em usuários do IAM (AWS CLI ou API da AWS)

Você pode listar, anexar ou remover etiquetas de usuários do IAM. Você pode usar a AWS CLI ou a API da AWS para gerenciar etiquetas de usuários do IAM.

Para listar as etiquetas atualmente anexadas a um usuário do IAM (AWS CLI ou API da AWS)

Para anexar etiquetas a um usuário do IAM (AWS CLI ou API da AWS)

Para remover etiquetas de um usuário do IAM (AWS CLI ou API da AWS)

Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.

Para obter informações sobre como usar etiquetas para definir mais permissões detalhadas com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e etiquetas.