Marcar usuários do IAM - AWS Identity and Access Management

Marcar usuários do IAM

Você pode usar pares de chave-valor de tag do IAM para adicionar atributos personalizados a um usuário do IAM. Por exemplo, para adicionar informações de localização a um usuário, você pode adicionar a chave de tag location e o valor de tag us_wa_seattle. Ou você pode usar três pares de chave-valor de tags de locais separados: loc-country = us, loc-state = wa e loc-city = seattle. Você pode usar tags para controlar o acesso de um usuário a recursos ou controlar quais tags podem ser associadas a um usuário. Para saber mais sobre como usar tags para controlar o acesso, consulte Controlar o acesso para usuários e funções do IAM usando tags.

Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para obter mais informações, consulte Passar tags de sessão no AWS STS.

Permissões necessárias para marcar usuários do IAM

Você deve configurar permissões para permitir que um usuário do IAM marque outros usuários. Você pode especificar uma ou todas as seguintes de tag do IAM em uma política do IAM:

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

Permitir que um usuário do IAM adicione, liste ou remova uma tag para um usuário específico

Adicione a declaração a seguir à política de permissões do usuário do IAM que precisa gerenciar tags. Use o número da sua conta e substitua <username> pelo nome do usuário cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

Permitir que um usuário do IAM gerencie as próprias tags

Adicione a seguinte instrução à política de permissões para que usuários permitam que outros gerenciem as próprias tags. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:user/${aws:username}" }

Permitir que um usuário do IAM adicione uma tag para um usuário específico

Adicione a declaração a seguir à política de permissões do usuário do IAM que precisa adicionar, mas não remover, tags para um usuário específico.

nota

A ação iam:TagUser requer que você também inclua a ação iam:ListUserTags.

Para usar essa política, substitua <username> pelo nome do usuário cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

Como alternativa, você pode usar uma política gerenciada da AWS, como IAMFullAccess, para fornecer acesso total ao IAM.

Gerenciar tags em usuários do IAM (console)

Você pode gerenciar tags de usuários do IAM no AWS Management Console.

Gerenciar tags em usuários (console)

  1. Faça login no AWS Management Console e abra o console da IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console, escolha Users (usuários) e, em seguida, escolha o nome do usuário que deseja editar.

  3. Escolha a guia Tags e conclua uma das seguintes ações:

    • Escolha Add tags (Adicionar tags) se o usuário ainda não tiver tags.

    • Escolha Edit tags (Editar tags) para gerenciar o conjunto de tags existente.

  4. Adicione ou remova tags para concluir o conjunto de tags. Em seguida, escolha Save changes (Salvar alterações).

Gerenciar tags em usuários do IAM (AWS CLI ou API da AWS)

Você pode listar, associar ou remover tags em usuários do IAM. Você pode usar a AWS CLI ou a API da AWS para gerenciar tags em usuários do IAM.

Para listar as tags atualmente anexadas a um usuário do IAM (AWS CLI ou API da AWS)

Para anexar tags a um usuário do IAM (AWS CLI ou API da AWS)

Para remover tags de um usuário do IAM (AWS CLI ou API da AWS)

Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.

Para obter informações sobre como usar tags para definir mais permissões granulares com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e tags.