本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
標記 OpenID Connect (OIDC) 身分提供者
您可以使用 IAM 標籤鍵值將自訂屬性新增至 IAM OpenID Connect (OIDC) 身分提供者。例如,若要識別 OIDC 身分提供者,您可以新增標籤鍵 google
和標籤值 oidc
。您可以使用標籤來控制對資源的存取權,或控制哪些標籤可以連接到物件。若要進一步了解有關使用標籤以控制存取的詳細資訊,請參閱使用標籤控制對 IAM 使用者和角色的存取。
標記 IAM OIDC 身分提供者所需的許可
您必須設定許可,允許 IAM 實體 (使用者或角色) 標記 IAM OIDC 身分提供者。您可在 IAM 政策中指定以下一個或所有 IAM 標籤動作:
-
iam:ListOpenIDConnectProviderTags
-
iam:TagOpenIDConnectProvider
-
iam:UntagOpenIDConnectProvider
允許 IAM 實體 (使用者或角色) 新增、列出或移除 IAM OIDC 身分提供者的標籤
將下列陳述式新增至需要管理標籤之 IAM 實體的許可政策。使用您的帳戶號碼,並將 <OIDC ProviderName >
替換為需要管理其標籤的 OIDC 提供者的名稱。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策。
{ "Effect": "Allow", "Action": [ "iam:ListOpenIDConnectProviderTags", "iam:TagOpenIDConnectProvider", "iam:UntagOpenIDConnectProvider" ], "Resource": "arn:aws:iam::
<account-number>
:oidc-provider/<OIDCProviderName>
" }
允許 IAM 實體 (使用者或角色) 將標籤新增至特定 IAM OIDC 身分提供者
將下列陳述式新增至 IAM 實體的許可政策,而該實體需要新增 (非移除) 特定身分提供者的標籤。
注意
此 iam:TagOpenIDConnectProvider
動作需要您也包含 iam:ListOpenIDConnectProviderTags
動作。
若要使用此原則,請將 <OIDC ProviderName >
取代為需要管理其標籤的 OIDC 提供者名稱。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策。
{ "Effect": "Allow", "Action": [ "iam:ListOpenIDConnectProviderTags", "iam:TagOpenIDConnectProvider" ], "Resource": "arn:aws:iam::
<account-number>
:oidc-provider/<OIDCProviderName>
" }
或者,您可以使用受 AWS 管政策 (例如 IAM
管理 IAM OIDC 身分提供者的標籤 (主控台)
您可以從 AWS Management Console管理 IAM OIDC 身分提供者的標籤。
管理 OIDC 身分提供者 (主控台) 的標籤
登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/
。 -
在主控台的導覽窗格中,選擇 Identity providers (身分提供者),然後選擇您所要編輯的身分提供者之名稱。
-
在 Tags (標籤) 區段中,選擇 Manage tags (管理標籤),然後完成下列其中一個動作:
-
如果 OIDC 身分提供者尚未有標籤或新增標籤,請選擇 Add tag (新增標籤)。
-
編輯現有標籤鍵和值。
-
請選擇 Remove tag (移除標籤) 以移除標籤。
-
-
接著選擇 Save changes (儲存變更)。
管理 IAM OIDC 身分識別提供者 (AWS CLI 或 AWS API) 上的標籤
您可以列出、連接或移除 IAM OIDC 身分提供者的標籤。您可以使用 AWS CLI 或 AWS API 來管理 IAM OIDC 身分識別提供者的標籤。
列出目前附加至 IAM OIDC 身分識別提供者 (AWS CLI 或 AWS API) 的標籤
-
AWS CLI:AWS IAM list-open-id-connect- 提供者標籤
-
AWS API:ListOpen識別碼 ConnectProviderTags
若要將標籤附加至 IAM OIDC 身分識別提供者 (AWS CLI 或 AWS API)
-
AWS CLI:AWS 我的供應 tag-open-id-connect商
-
AWS API:TagOpen識別碼 ConnectProvider
若要從 IAM OIDC 身分識別提供者 (AWS CLI 或 AWS API) 移除標籤
-
AWS CLI:AWS 我的供應 untag-open-id-connect商
-
AWS API:UntagOpen識別碼 ConnectProvider
如需將標籤附加至其他 AWS 服務之資源的相關資訊,請參閱這些服務的說明文件。
如需使用標籤來設定多個精密許可搭配 IAM 許可政策的更多資訊,請參閱 IAM 政策元素:變數與標籤。