本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
標記 IAM 角色
您可以使用 IAM 標籤鍵值組將自訂屬性新增至 IAM 角色。例如,若要將位置資訊新增至角色,您可以新增標籤鍵 location
和標籤值 us_wa_seattle
。或者,您可以使用三個不同的位置的標籤鍵值組:loc-country =
us
、loc-state = wa
和 loc-city =
seattle
。您可以使用標籤來控制角色對資源的存取權,或控制哪些標籤可以連接到角色。若要進一步了解有關使用標籤以控制存取的詳細資訊,請參閱使用標籤控制對 IAM 使用者和角色的存取。
當您擔任角色或聯合使用者時,您也可以使用中的標籤 AWS STS 來新增自訂屬性。如需詳細資訊,請參閱 傳遞工作階段標籤 AWS STS。
標記 IAM 角色所需的許可
您必須設定許可,允許 IAM 角色標記其他實體 (使用者或角色)。您可在 IAM 政策中指定以下一個或所有 IAM 標籤動作:
-
iam:ListRoleTags
-
iam:TagRole
-
iam:UntagRole
-
iam:ListUserTags
-
iam:TagUser
-
iam:UntagUser
允許 IAM 角色新增、列出,或移除特定使用者的標籤
將下列陳述式新增至需要管理標籤之 IAM 角色的許可政策。使用您的帳戶並使用需要其標籤受管之使用者的名稱取代 <username>
。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策。
{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser", "iam:UntagUser" ], "Resource": "arn:aws:iam::
<account-number>
:user/<username>
" }
允許 IAM 角色新增特定使用者的標籤
將下列陳述式新增至 IAM 角色的許可政策,而該角色需要新增 (非移除) 特定使用者的標籤。
若要使用此政策,請使用其標籤需要受管之使用者的名稱取代 <username>
。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策。
{ "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:TagUser" ], "Resource": "arn:aws:iam::
<account-number>
:user/<username>
" }
允許 IAM 角色新增、列出,或移除特定角色的標籤
將下列陳述式新增至需要管理標籤之 IAM 角色的許可政策。用其標籤需要受管的角色名稱取代 <rolename>
。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策。
{ "Effect": "Allow", "Action": [ "iam:ListRoleTags", "iam:TagRole", "iam:UntagRole" ], "Resource": "arn:aws:iam::
<account-number>
:role/<rolename>
" }
或者,您可以使用受 AWS 管政策 (例如 IAM
管理 IAM 角色的標籤 (主控台)
您可以從 AWS Management Console管理 IAM 角色的標籤。
管理角色的標籤 (主控台)
登入 AWS Management Console 並開啟身分與存取權管理主控台,網址為 https://console.aws.amazon.com/iam/
。 -
在主控台導覽窗格中,選擇 Roles (角色),然後選擇您要編輯的角色名稱。
-
選擇 Tags (標籤) 標籤,然後完成以下其中一個動作:
-
如果角色還沒有標籤,請選擇 Add new tag (新增標籤)。
-
選擇 Manage tags (管理標籤) 來管理現有的一組標籤。
-
-
新增或移除標籤來完成標籤的設定。然後,選擇 Save changes (儲存變更)。
管理 IAM 角色 (AWS CLI 或 AWS API) 上的標籤
您可以列出、連接,或移除 IAM 角色的標籤。您可以使用 AWS CLI 或 AWS API 來管理 IAM 角色的標籤。
列出目前附加至 IAM 角色 (AWS CLI 或 AWS API) 的標籤
-
AWS CLI: list-role-tags
-
AWS API:ListRoleTags
若要將標籤附加到 IAM 角色 (AWS CLI 或 AWS API)
-
AWS CLI:aws iam tag-role
-
AWS API:TagRole
若要從 IAM 角色 (AWS CLI 或 AWS API) 移除標籤
-
AWS CLI:aws iam untag-role
-
AWS API:UntagRole
如需將標籤附加至其他 AWS 服務之資源的相關資訊,請參閱這些服務的說明文件。
如需使用標籤來設定多個精密許可搭配 IAM 許可政策的更多資訊,請參閱 IAM 政策元素:變數與標籤。