Marcar dispositivos MFA virtuais - AWS Identity and Access Management

Marcar dispositivos MFA virtuais

Você pode usar pares de chave-valor de etiqueta do IAM para adicionar atributos personalizados a um dispositivo com MFA virtual. Por exemplo, para adicionar informações do centro de custo para o dispositivo MFA virtual de um usuário, você pode adicionar a chave de tag CostCenter e o valor de tag 1234. Você pode usar tags para controlar o acesso a recursos ou controlar quais tags podem ser associadas a um objeto. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.

Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para obter mais informações, consulte Passar tags de sessão no AWS STS.

Permissões necessárias para marcar dispositivos MFA virtuais

Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM etiquete dispositivos com MFA virtuais. Você pode especificar uma ou todas as seguintes de etiqueta do IAM em uma política do IAM:

  • iam:ListMFADeviceTags

  • iam:TagMFADevice

  • iam:UntagMFADevice

Para permitir que uma entidade (usuário ou função) do IAM adicione, liste ou remova uma etiqueta em um dispositivo com MFA virtual

Adicione a seguinte instrução à política de permissões para a entidade do IAM que precisa gerenciar etiquetas. Use o número da sua conta e substitua <MFATokenID> pelo nome do dispositivo MFA virtual cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListMFADeviceTags", "iam:TagMFADevice", "iam:UntagMFADevice" ], "Resource": "arn:aws:iam:*:<account-number>:mfa/<MFATokenID>" }

Para permitir que uma entidade (usuário ou função) do IAM adicione uma etiqueta a um dispositivo com MFA virtual específico

Adicione a seguinte instrução à política de permissões da entidade do IAM que precisa adicionar, mas não remover, etiquetas em um dispositivo com MFA específico.

nota

A ação iam:TagMFADevice requer que você também inclua a ação iam:ListMFADeviceTags.

Para usar essa política, substitua <MFATokenID> pelo nome do dispositivo MFA virtual cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListMFADeviceTags", "iam:TagMFADevice" ], "Resource": "arn:aws:iam:*:<account-number>:mfa/<MFATokenID>" }

Como alternativa, você pode usar uma política gerenciada pela AWS, como IAMFullAccess, para fornecer acesso total ao IAM.

Gerenciar tags em dispositivos MFA virtuais (AWS CLI ou API da AWS)

Você pode listar, associar ou remover tags em um dispositivo MFA virtual. Você pode usar a AWS CLI ou a API da AWS para gerenciar tags em um dispositivo MFA virtual.

Listar tags atualmente associadas a um dispositivo MFA virtual (AWS CLI ou API da AWS)

Associar tags a um dispositivo MFA virtual (AWS CLI ou API da AWS)

Remover tags de um dispositivo MFA virtual (AWS CLI ou API da AWS)

Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.

Para obter informações sobre como usar etiquetas para definir mais permissões detalhadas com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e etiquetas.