標記 OpenID Connect (OIDC) 身分提供者 - AWS Identity and Access Management

標記 OpenID Connect (OIDC) 身分提供者

您可以使用 IAM 標籤鍵值將自訂屬性新增至 IAM OpenID Connect (OIDC) 身分提供者。例如,若要識別 OIDC 身分提供者,您可以新增標籤鍵 google 和標籤值 oidc。您可以使用標籤來控制對資源的存取權,或控制哪些標籤可以連接到物件。若要進一步了解有關使用標籤以控制存取的詳細資訊,請參閱使用標籤控制對 IAM 使用者和角色的存取

標記 IAM OIDC 身分提供者所需的許可

您必須設定許可,允許 IAM 實體 (使用者或角色) 標記 IAM OIDC 身分提供者。您可在 IAM 政策中指定以下一個或所有 IAM 標籤動作:

  • iam:ListOpenIDConnectProviderTags

  • iam:TagOpenIDConnectProvider

  • iam:UntagOpenIDConnectProvider

允許 IAM 實體 (使用者或角色) 新增、列出或移除 IAM OIDC 身分提供者的標籤

將下列陳述式新增至需要管理標籤之 IAM 實體的許可政策。使用您的帳戶號碼,用需要其標籤受管的 OIDC 提供者名稱取代 <OIDCProviderName>。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 在 JSON 標籤上建立政策

{ "Effect": "Allow", "Action": [ "iam:ListOpenIDConnectProviderTags", "iam:TagOpenIDConnectProvider", "iam:UntagOpenIDConnectProvider" ], "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>" }

允許 IAM 實體 (使用者或角色) 將標籤新增至特定 IAM OIDC 身分提供者

將下列陳述式新增至 IAM 實體的許可政策,而該實體需要新增 (非移除) 特定身分提供者的標籤。

注意

iam:TagOpenIDConnectProvider 動作需要您也包含 iam:ListOpenIDConnectProviderTags 動作。

若要使用此政策,請用需要其標籤受管的 OIDC 提供者名稱取代 <OIDCProviderName>。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 在 JSON 標籤上建立政策

{ "Effect": "Allow", "Action": [ "iam:ListOpenIDConnectProviderTags", "iam:TagOpenIDConnectProvider" ], "Resource": "arn:aws:iam::<account-number>:oidc-provider/<OIDCProviderName>" }

或者,您可以使用 AWS 受管政策,例如 IAMFullAccess 來提供 IAM 的完整存取權。

管理 IAM OIDC 身分提供者的標籤 (主控台)

您可以從 AWS Management Console 管理 IAM OIDC 身分提供者的標籤。

注意

您只能使用新的身分提供者主控台體驗來管理標籤。

管理 OIDC 身分提供者的標籤 (主控台)

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在主控台的導覽窗格中,選擇 Identity providers (身分提供者),然後選擇您所要編輯的身分提供者之名稱。

  3. Tags (標籤) 區段中,選擇 Manage tags (管理標籤),然後完成下列其中一個動作:

    • 如果 OIDC 身分提供者尚未有標籤或新增標籤,請選擇 Add tag (新增標籤)。

    • 編輯現有標籤鍵和值。

    • 請選擇 Remove tag (移除標籤) 以移除標籤。

  4. 接著選擇 Save changes (儲存變更)

管理 IAM OIDC 身分提供者的標籤 (AWS CLI 或 AWS API)

您可以列出、連接或移除 IAM OIDC 身分提供者的標籤。您可以使用 AWS CLI 或 AWS API 來管理 IAM OIDC 身分提供者的標籤。

列出目前連接至 IAM OIDC 身分提供者的標籤 (AWS CLI 或 AWS API)

將標籤連接至 IAM OIDC 身分提供者 (AWS CLI 或 AWS API)

從 IAM OIDC 身分提供者移除標籤 (AWS CLI 或 AWS API)

如需將標籤連接至其他 AWS 服務的資源,請參閱這些服務的文件。

如需使用標籤來設定多個精密許可搭配 IAM 許可政策的更多資訊,請參閱 IAM 政策元素:變數與標籤