標記 IAM 資源 - AWS Identity and Access Management

標記 IAM 資源

標籤是一種自訂屬性標籤,可由您指派給 AWS 資源。每個標籤有兩個部分:

  • 標籤鍵 (例如,CostCenterEnvironmentProjectPurpose )。標籤鍵會區分大小寫。

  • 一個名為標籤值 (例如,111122223333Production,或團隊名稱) 的選用欄位。忽略標籤值基本上等同於使用空字串。與標籤鍵相同,標籤值會區分大小寫。

這些合稱為鍵值組。關於可具有 IAM 資源標籤數量的限制,請參閱 IAM 和 AWS STS 配額、名稱要求和字元限制

標籤可協助您識別和整理 AWS 資源。許多 AWS 服務支援標記,因此您可以對來自不同服務的資源指派相同的標籤,指出資源是相關的。例如,您可以將相同的標籤指派給您指派給 Amazon S3 儲存貯體的 IAM 角色。如需有關標記策略的詳細資訊,請參閱《AWS 一般參考指南》中的標記 AWS 資源

此外,若要使用標籤來識別、整理和追蹤 IAM 資源,您可以在 IAM 政策中使用標籤,以協助控制誰可以檢視您的資源並與其互動。若要進一步了解有關使用標籤以控制存取的詳細資訊,請參閱使用標籤控制對 IAM 使用者和角色的存取

您也可以在 AWS STS 中使用標籤來在您擔任角色或與使用者聯合身分時新增自訂屬性。如需詳細資訊,請參閱 在 AWS STS 中傳遞工作階段標籤

選擇 AWS 標籤命名慣例

當您開始將標籤連接至您的 IAM 資源時,請小心選擇您的標籤命名慣例。請將相同的慣例套用到您所有的 AWS 標籤。如果您在政策中使用標籤來控制對 AWS 資源的存取,此操作是非常重要的。如果您在 AWS 中已經使用標籤,請檢閱您的命名慣例和加以調整。若要檢視標記使用案例及最佳實務,請下載標記最佳實務白皮書。

IAM 和 AWS STS 中的標記規則

多種慣例會掌管在 IAM 和 AWS STS 中標籤的建立和應用。

命名標籤

請在為 IAM 資源、AWS STS 擔任角色工作階段和 AWS STS 聯合身分使用者工作階段制定標籤命名慣例時遵守下列慣例:

字元要求 – 標籤索引鍵和值可以包含任意組合字母、數字、空格和 _ . : / = + - @ 符號。

區分大小寫 – 標籤鍵的區分大小寫會因標記的 IAM 資源類型而有所不同。IAM 使用者和角色的標籤鍵值不區分大小寫,但會保留大小寫。這表示您無法個別擁有 Departmentdepartment 標籤鍵。如果您使用 Department=finance 標籤為使用者加上標籤,而且您新增 department=hr 標籤,它會取代第一個標籤。不會新增第二個標籤。

對於其他 IAM 資源類型,標籤鍵值會區分大小寫。這意味著您可以有單獨的 Costcentercostcenter 標籤鍵。例如,如果您已使用 Costcenter = 1234 標籤標記客戶受管政策,並新增 costcenter = 5678 標籤,則政策將同時具有 Costcentercostcenter 標籤鍵。

最佳作法是,建議您避免使用類似的標籤使用不一致的大小寫處理。建議您決定大寫標籤的策略,並一致地在所有資源類型中實作該策略。若要進一步了解標記的最佳作法,請參閱《AWS 一般參考》中的標記 AWS 資源

下列清單顯示連接至 IAM 資源之標籤鍵的區分大小寫差異。

標籤鍵值區分大小寫:

  • IAM 角色

  • IAM 使用者

標籤鍵值區分大小寫:

  • 客戶受管政策

  • 執行個體設定檔

  • OpenID Connect 身分提供者

  • SAML 身分提供者

  • 伺服器憑證

  • 虛擬 MFA 裝置

此外,適用下列規則:

  • 您不能建立標籤鍵或以文字 aws: 為開頭的值。此標籤字首保留供 AWS 內部使用。

  • 您可以使用 phoneNumber = 之類的空值來建立標籤。您不能建立空的標籤鍵。

  • 您可以在單一標籤不指定多個值,但您可以在單一值建立自訂多值結構。例如,假設使用者 Zhang 與工程團隊和 QA 團隊合作。如果您連接 team = Engineering 標籤,然後連接 team = QA 標籤,則您將標籤的值從 Engineering 變更為 QA。反之,您可以在單一標籤中使用自訂分隔符號來包含多個值。在這個範例中,您可以將 team = Engineering:QA 標籤連接至 Zhang。

    注意

    若要在此範例中使用 team 標籤控制工程師的存取權,您必須建立一個政策,以允許可能包含 Engineering 的每個組態,包括 Engineering:QA。若要進一步了解在政策中使用標籤的詳細資訊,請參閱 使用標籤控制對 IAM 使用者和角色的存取

套用和編輯標籤

將標籤連接至 IAM 資源時,請遵守下列慣例:

  • 您可以標記大多數 IAM 資源,但不能標記群組、擔任的角色、存取報告或硬體式 MFA 裝置。

  • 您不能使用標籤編輯器來標記 IAM 資源。標籤編輯器不支援 IAM 標籤。如需使用標籤編輯器搭配其他服務的詳細資訊,請參閱 AWS Resource Groups 使用者指南中的使用標籤編輯器

  • 若要標記 IAM 資源,您必須擁有特定的許可。若要標記或取消標記資源,您還必須有列出標籤的許可。如需詳細資訊,請參閱本頁結尾每個 IAM 資源的主題清單。

  • AWS 帳戶中的 IAM 資源數量和大小均有所限制。如需詳細資訊,請參閱 IAM 和 AWS STS 配額、名稱要求和字元限制

  • 您可以將相同標籤套用到多個 IAM 資源。例如,假設您有一個名為 AWS_Development 的部門,其中包含 12 名成員。您可以擁有 12 名使用者,以及具備 department 標籤鍵和 awsDevelopment 值的角色 (department = awsDevelopment)。您也可以在其他支援標籤的服務中對資源使用相同標籤。

  • IAM 實體 (使用者或角色) 不能擁有相同標籤鍵的多個執行個體。例如,如果您有一個使用者與標籤鍵值對 costCenter = 1234,您可以接著連接標籤鍵值對 costCenter = 5678。IAM 會更新 costCenter 標籤的值至 5678

  • 若要編輯連接至 IAM 實體 (使用者或角色) 的標籤,請連接含有新值的標籤以覆寫現有標籤。例如,假設您有一個使用者,含有標籤鍵值組 department = Engineering。如果您需要將使用者新增到 QA 部門,則可以將 department = QA 標籤鍵值組連接至使用者。這會造成 Engineering 標籤鍵的 department 值取代為 QA 值。