标记服务器证书
如果您使用 IAM 管理 SSL/TLS 证书,则可以使用 AWS CLI 或 AWS API 标记 IAM 中的服务器证书。对于 AWS Certificate Manager (ACM) 支持的区域中的证书,我们建议您使用 ACM 而不是 IAM 预置、管理和部署您的服务器证书。在不支持的区域中,您必须将 IAM 作为证书管理器。要了解 ACM 支持的具体区域,请参阅《AWS 一般参考》中的 AWS Certificate Manager 端点和限额。
您可以使用 IAM 标签键值对向服务器证书添加自定义属性。例如,要添加有关服务器证书拥有者者或管理员的信息,请添加标签键 owner 和标签值 net-eng。或者,您可以通过添加标签键 CostCenter 和标签值 1234 来指定成本中心。您可以使用标签控制对资源的访问权限或控制可附加到资源的标签。要了解有关使用标签控制访问的更多信息,请参阅 使用标签控制对 IAM 用户和角色的访问以及他们进行的访问。
您还可以在 AWS STS 中使用标签,以在代入角色或联合身份用户身份时添加自定义属性。有关更多信息,请参阅 在 AWS STS 中传递会话标签。
标记服务器证书所需的权限
您必须配置权限以允许 IAM 实体(用户或角色)标记服务器证书。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作:
-
iam:ListServerCertificateTags -
iam:TagServerCertificate -
iam:UntagServerCertificate
要允许 IAM 实体(用户或角色)添加、列出或删除服务器证书的标签
将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的账户并将 <CertificateName> 替换为需要管理其标签的服务器证书的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略。
{ "Effect": "Allow", "Action": [ "iam:ListServerCertificateTags", "iam:TagServerCertificate", "iam:UntagServerCertificate" ], "Resource": "arn:aws:iam::<account-number>:server-certificate/<CertificateName>" }
要允许 IAM 实体(用户或角色)向特定服务器证书添加标签
将以下语句添加到需要为特定服务器证书添加而不是删除标签的 IAM 实体的权限策略。
注意
iam:TagServerCertificate 操作要求您也包含 iam:ListServerCertificateTags 操作。
要使用此策略,请将 <CertificateName> 替换为需要管理其标签的服务器证书的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略。
{ "Effect": "Allow", "Action": [ "iam:ListServerCertificateTags", "iam:TagServerCertificate" ], "Resource": "arn:aws:iam::<account-number>:server-certificate/<CertificateName>" }
或者,也可以使用 AWS 托管策略(如 IAMFullAccess
管理服务器证书(AWS CLI 或 AWS API)的标签
您可以列出、附加或删除服务器证书的标签。您可以使用 AWS CLI 或 AWS API 管理服务器证书的标签。
要列出当前附加到服务器证书(AWS CLI 或 AWS API)的标签
-
AWS API:ListServerCertificateTags
要将标签附加到服务器证书(AWS CLI 或 AWS API)
-
AWS CLI:aws iam tag-server-certificate
-
AWS API:TagServerCertificate
要从服务器证书(AWS CLI 或 AWS API)中删除标签
-
AWS CLI:aws iam untag-server-certificate
-
AWS API:UntagServerCertificate
有关将标签附加到其他 AWS 服务的资源的信息,请参阅这些服务的文档。
有关使用标签通过 IAM 权限策略设置更精细权限的信息,请参阅 IAM policy 元素:变量和标签。
