標記客戶受管政策

您可以使用 IAM 標籤鍵值組，將自訂屬性新增至客戶受管政策。例如，若要使用部門資訊來標記政策，您可以新增標籤鍵 Department 和標籤值 eng。或者，您可能想要標記政策，以指出這些政策適用於特定環境，例如 Environment = lab。您可以使用標籤來控制對資源的存取權，或控制哪些標籤可以連接到資源。若要進一步了解有關使用標籤以控制存取的詳細資訊，請參閱使用標籤控制對 IAM 使用者和角色的存取。

您也可以在 AWS STS 中使用標籤來在您擔任角色或與使用者聯合身分時新增自訂屬性。如需詳細資訊，請參閱 傳遞工作階段標籤 AWS STS。

標記客戶受管政策所需的許可

您必須設定許可，以允許 IAM 實體 (使用者或角色) 標記客戶受管政策。您可在 IAM 政策中指定以下一個或所有 IAM 標籤動作：

• iam:ListPolicyTags

• iam:TagPolicy

• iam:UntagPolicy

允許 IAM 實體 (使用者或角色) 新增、列出或移除客戶受管政策的標記

將下列陳述式新增至需要管理標籤之 IAM 實體的許可政策。使用您的帳戶號碼，用需要其標籤受管的政策名稱取代 <policyname>。若要了解如何使用此範例 JSON 政策文件來建立政策，請參閱 正在使用 JSON 編輯器建立政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy",
        "iam:UntagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}

允許 IAM 實體 (使用者或角色) 新增標籤至特定客戶受管政策

將下列陳述式新增至 IAM 實體的許可政策，而該實體需要新增 (非移除) 特定政策的標籤。

注意

此 iam:TagPolicy 動作需要您也包含 iam:ListPolicyTags 動作。

若要使用此政策，請用需要其標籤受管的政策名稱取代 <policyname>。若要了解如何使用此範例 JSON 政策文件來建立政策，請參閱 正在使用 JSON 編輯器建立政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}

或者，您可以使用 AWS 受管政策，例如 IAMFullAccess 來提供 IAM 的完整存取權。

管理 IAM 客戶受管政策的標籤 (主控台)

您可以從 AWS Management Console 管理 IAM 客戶受管政策的標籤。

管理客戶受管政策的標籤 (主控台)

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

2. 在主控台導覽窗格中，選擇 Policies (政策)，然後選擇您要編輯的客戶受管政策名稱。

3. 選擇標籤索引標籤，然後選擇管理標籤。

4. 新增或移除標籤來完成標籤的設定。接著選擇 Save changes (儲存變更)。

管理 IAM 客戶受管政策 的標籤 (AWS CLI 或 AWS API)

您可以列出、連接或移除 IAM 客戶受管政策的標籤。您可以使用 IAM 或 AWS CLIAWSAPI 來管理 IAM 客戶受管政策的標籤。

列出目前連接至 IAM 客戶受管政策的標籤 (AWS CLI 或 AWS API)

• AWS CLI: aws iam list-policy-tags

• AWS API: ListPolicyTags

將標籤連接至 IAM 客戶受管政策 (AWS CLI 或 AWS API)

• AWS CLI: aws iam tag-policy

• AWS API: TagPolicy

從 IAM 客戶受管政策移除標籤 (AWS CLI 或 AWS API)

• AWS CLI: aws iam untag-policy

• AWS API: UntagPolicy

如需將標籤連接至其他 AWS 服務的資源，請參閱這些服務的文件。

如需使用標籤來設定多個精密許可搭配 IAM 許可政策的更多資訊，請參閱 IAM 政策元素：變數與標籤。