標記 OpenID Connect (OIDC) 身分提供者

您可以使用 IAM 標籤鍵值將自訂屬性新增至 IAM OpenID Connect (OIDC) 身分提供者。例如，若要識別 OIDC 身分提供者，您可以新增標籤鍵 google 和標籤值 oidc。您可以使用標籤來控制對資源的存取權，或控制哪些標籤可以連接到物件。若要進一步了解有關使用標籤以控制存取的詳細資訊，請參閱使用標籤控制對 IAM 使用者和角色的存取。

標記 IAM OIDC 身分提供者所需的許可

您必須設定許可，允許 IAM 實體 (使用者或角色) 標記 IAM OIDC 身分提供者。您可在 IAM 政策中指定以下一個或所有 IAM 標籤動作：

• iam:ListOpenIDConnectProviderTags

• iam:TagOpenIDConnectProvider

• iam:UntagOpenIDConnectProvider

允許 IAM 實體 (使用者或角色) 新增、列出或移除 IAM OIDC 身分提供者的標籤

將下列陳述式新增至需要管理標籤之 IAM 實體的許可政策。使用您的帳戶號碼，並將 <OIDC ProviderName > 替換為需要管理其標籤的 OIDC 提供者的名稱。若要了解如何使用此範例 JSON 政策文件來建立政策，請參閱 正在使用 JSON 編輯器建立政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListOpenIDConnectProviderTags",
        "iam:TagOpenIDConnectProvider",
        "iam:UntagOpenIDConnectProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>"
}

允許 IAM 實體 (使用者或角色) 將標籤新增至特定 IAM OIDC 身分提供者

將下列陳述式新增至 IAM 實體的許可政策，而該實體需要新增 (非移除) 特定身分提供者的標籤。

注意

此 iam:TagOpenIDConnectProvider 動作需要您也包含 iam:ListOpenIDConnectProviderTags 動作。

若要使用此原則，請將 <OIDC ProviderName > 取代為需要管理其標籤的 OIDC 提供者名稱。若要了解如何使用此範例 JSON 政策文件來建立政策，請參閱 正在使用 JSON 編輯器建立政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListOpenIDConnectProviderTags",
        "iam:TagOpenIDConnectProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>"
}

或者，您可以使用受 AWS 管政策 (例如 IAM) FullAccess 來提供 IAM 的完整存取權。

管理 IAM OIDC 身分提供者的標籤 (主控台)

您可以從 AWS Management Console管理 IAM OIDC 身分提供者的標籤。

管理 OIDC 身分提供者 (主控台) 的標籤

1. 登入 AWS Management Console 並開啟身分與存取權管理主控台，網址為 https://console.aws.amazon.com/iam/。

2. 在主控台的導覽窗格中，選擇 Identity providers (身分提供者)，然後選擇您所要編輯的身分提供者之名稱。

3. 在 Tags (標籤) 區段中，選擇 Manage tags (管理標籤)，然後完成下列其中一個動作：

   • 如果 OIDC 身分提供者尚未有標籤或新增標籤，請選擇 Add tag (新增標籤)。

   • 編輯現有標籤鍵和值。

   • 請選擇 Remove tag (移除標籤) 以移除標籤。

4. 接著選擇 Save changes (儲存變更)。

管理 IAM OIDC 身分識別提供者 (AWS CLI 或 AWS API) 上的標籤

您可以列出、連接或移除 IAM OIDC 身分提供者的標籤。您可以使用 AWS CLI 或 AWS API 來管理 IAM OIDC 身分識別提供者的標籤。

列出目前附加至 IAM OIDC 身分識別提供者 (AWS CLI 或 AWS API) 的標籤

• AWS CLI：AWS IAM list-open-id-connect- 提供者標籤

• AWS API：ListOpen識別碼 ConnectProviderTags

若要將標籤附加至 IAM OIDC 身分識別提供者 (AWS CLI 或 AWS API)

• AWS CLI：AWS 我的供應 tag-open-id-connect商

• AWS API：TagOpen識別碼 ConnectProvider

若要從 IAM OIDC 身分識別提供者 (AWS CLI 或 AWS API) 移除標籤

• AWS CLI：AWS 我的供應 untag-open-id-connect商

• AWS API：UntagOpen識別碼 ConnectProvider

如需將標籤附加至其他 AWS 服務之資源的相關資訊，請參閱這些服務的說明文件。

如需使用標籤來設定多個精密許可搭配 IAM 許可政策的更多資訊，請參閱 IAM 政策元素：變數與標籤。