标记 IAM 用户 - AWS Identity and Access Management

标记 IAM 用户

您可以使用 IAM 标签键值对向 IAM 用户添加自定义属性。例如,要向用户添加位置信息,您可以添加标签键 location 和标签值 us_wa_seattle。或者,也可以使用三种单独的位置标签键值对:loc-country = usloc-state = waloc-city = seattle。您可以使用标签控制用户对资源的访问权限或控制可附加到用户的标签。要了解有关使用标签控制访问的更多信息,请参阅使用标签控制对 IAM 用户和角色的访问以及他们进行的访问

您还可以在 AWS STS 中使用标签,以在代入角色或联合用户身份时添加自定义属性。有关更多信息,请参阅 在 AWS STS 中传递会话标签

标记 IAM 用户所需的权限

您必须配置权限以允许 IAM 用户标记其他用户。您可以在 IAM 策略中指定以下一项或所有 IAM 标签操作:

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

要允许 IAM 用户为特定用户添加、列出或删除标签

将以下语句添加到需要管理标签的 IAM 用户的权限策略。使用您的账号并将 <username> 替换为需要管理其标签的用户的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅在“JSON”选项卡上创建策略

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

要允许 IAM 用户自行管理标签

将以下语句添加到用户的权限策略以允许用户管理其自己的标签。要了解如何使用该示例 JSON 策略文档创建策略,请参阅在“JSON”选项卡上创建策略

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam:*:user/${aws:username}" }

要允许 IAM 用户将标签添加到特定用户

将以下语句添加到需要为特定用户添加而不是删除标签的 IAM 用户的权限策略。

注意

iam:TagUser 操作要求您也包含 iam:ListUserTags 操作。

要使用此策略,请将 <username> 替换为需要管理其标签的用户的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅在“JSON”选项卡上创建策略

{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam:*:<account-number>:user/<username>" }

或者,也可以使用 AWS 托管策略(如 IAMFullAccess)来提供对 IAM 的完全访问权限。

管理 IAM 用户的标签(控制台)

您可以从 AWS Management Console 中管理 IAM 用户的标签。

要管理用户的标签(控制台)

  1. 登录 AWS Management Console,打开 IAM 控制台 https://console.aws.amazon.com/iam/

  2. 在控制台的导航窗格中,选择 Users(用户),然后选择要编辑的用户的名称。

  3. 选择 Tags (标签) 选项卡,然后完成下列操作之一:

    • 如果用户还没有标签,请选择 Add tags(添加标签)。

    • 选择 Edit tags (编辑标签) 来管理一组现有的标签。

  4. 添加或删除标签以完成标签集。然后选择 Save changes (保存更改)

管理 IAM 用户(AWS CLI 或 AWS API)的标签

您可以为 IAM 用户列出、附加或删除标签。您可以使用 AWS CLI 或 AWS API 管理 IAM 用户的标签。

列出当前附加到 AWS CLI 用户的标签( 或 AWS API)

将标签附加到 IAM 用户(AWS CLI 或 AWS API)

从 IAM 用户中删除标签(AWS CLI 或 AWS API)

有关将标签附加到其他 AWS 服务的资源的信息,请参阅这些服务的文档。

有关使用标签通过 IAM 权限策略设置更精细权限的信息,请参阅 IAM 策略元素:变量和标签