本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
標記 Amazon EC2 角色的執行個體描述檔
啟動 Amazon EC2 執行個體時,指定要與執行個體相關聯的 IAM 角色。執行個體描述檔是適用於 IAM 角色的容器,可讓您在執行個體啟動時將角色資訊傳遞至 Amazon EC2 執行個體。您可以在使用 AWS CLI 或 AWS API 時標記執行個體設定檔。
您可以使用 IAM 標籤鍵值組將自訂屬性新增至執行個體描述檔。例如,若要將部門資訊新增至執行個體設定檔,您可以新增標籤鍵 access-team 和標籤值 eng。這樣做可讓具有相符標籤的主體存取具有相同標籤的執行個體設定檔。您可以使用多個標籤鍵值組來指定團隊和專案:access-team
= eng 和 project = peg。您可以使用標籤來控制使用者對資源的存取權,或控制哪些標籤可以連接到使用者。若要進一步了解有關使用標籤以控制存取的詳細資訊,請參閱使用標籤控制對 IAM 使用者和角色的存取。
當您擔任角色或聯合使用者時,您也可以使用中的標籤 AWS STS 來新增自訂屬性。如需詳細資訊,請參閱 傳遞工作階段標籤 AWS STS。
標記執行個體設定檔所需的許可
您必須設定許可,允許 IAM 實體 (使用者或角色) 標記執行個體描述檔。您可在 IAM 政策中指定以下一個或所有 IAM 標籤動作:
-
iam:ListInstanceProfileTags -
iam:TagInstanceProfile -
iam:UntagInstanceProfile
允許 IAM 實體 (使用者或角色) 新增、列出或移除執行個體描述檔的標籤
將下列陳述式新增至需要管理標籤之 IAM 實體的許可政策。使用您的帳戶號碼,並將 < InstanceProfileName > 替換為需要管理其標籤的實例配置文件的名稱。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策。
{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile", "iam:UntagInstanceProfile" ], "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>" }
允許 IAM 實體 (使用者或角色) 將標籤新增至特定執行個體描述檔
將下列陳述式新增至 IAM 實體的許可政策,而該實體需要新增 (非移除) 特定執行個體描述檔的標籤。
注意
此 iam:TagInstanceProfile 動作需要您也包含 iam:ListInstanceProfileTags 動作。
若要使用此原則,請將 < InstanceProfileName > 取代為需要管理其標記的執行個體設定檔名稱。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策。
{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile" ], "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>" }
或者,您可以使用受 AWS 管政策 (例如 IAM
管理執行個體設定檔 (AWS CLI 或 AWS API) 上的標籤
您可以列出、連接或移除執行個體設定檔的標籤。您可以使用 AWS CLI 或 AWS API 來管理執行個體設定檔的標籤。
列出目前附加至執行個體設定檔 (AWS CLI 或 AWS API) 的標籤
-
AWS CLI: list-instance-profile-tags
-
AWS API:ListInstanceProfileTags
將標籤附加至執行個體設定檔 (AWS CLI 或 AWS API)
-
AWS CLI: tag-instance-profile
-
AWS API:TagInstanceProfile
從執行個體設定檔 (AWS CLI 或 AWS API) 移除標籤
-
AWS CLI: untag-instance-profile
-
AWS API:UntagInstanceProfile
如需將標籤附加至其他 AWS 服務之資源的相關資訊,請參閱這些服務的說明文件。
如需使用標籤來設定多個精密許可搭配 IAM 許可政策的更多資訊,請參閱 IAM 政策元素:變數與標籤。
