本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
標記伺服器憑證
如果您使IAM用管理SSL/TLS憑證,您可以在中IAM使用 AWS CLI 或來標記伺服器憑證 AWS API。對於由 AWS Certificate Manager (ACM) 支援的區域中的憑證,建議您使用ACM而非佈建、管理和部署伺服器憑證。IAM在不支援的區域中,您必須使用IAM做為憑證管理員。若要瞭解哪些地區ACM支援,請參閱AWS Certificate Manager AWS 一般參考.
您可以使用IAM標籤鍵值配對,將自訂屬性新增至伺服器憑證。例如,若要新增伺服器憑證擁有者或系統管理員的相關資訊,請新增標籤鍵 owner
和標籤值 net-eng
。或者,您可以透過新增標籤鍵 CostCenter
和標籤值 1234
來指定成本中心。您可以使用標籤來控制對資源的存取權,或控制哪些標籤可以連接到資源。若要進一步了解有關使用標籤以控制存取的詳細資訊,請參閱使用標籤控制對 IAM 使用者和角色的存取。
當您擔任角色或聯合使用者時,您也可以使用中的標籤 AWS STS 來新增自訂屬性。如需詳細資訊,請參閱傳遞工作階段標籤 AWS STS。
標記伺服器憑證所需的許可
您必須設定權限,以允許IAM實體 (使用者或角色) 標記伺服器憑證。您可以在IAM策略中指定下列一個或所有IAM標籤動作:
-
iam:ListServerCertificateTags
-
iam:TagServerCertificate
-
iam:UntagServerCertificate
允許IAM實體 (使用者或角色) 新增、列出或移除伺服器憑證的標籤
將下列陳述式新增至需要管理標籤之IAM實體的權限原則。使用您的帳號並更換 <CertificateName>
使用需要管理其標籤的服務器證書的名稱。若要瞭解如何使用此範例原則文件建立JSON原則,請參閱使用JSON編輯器建立原則。
{ "Effect": "Allow", "Action": [ "iam:ListServerCertificateTags", "iam:TagServerCertificate", "iam:UntagServerCertificate" ], "Resource": "arn:aws:iam::
<account-number>
:server-certificate/<CertificateName>
" }
允許IAM實體 (使用者或角色) 將標籤新增至特定伺服器憑證
針對需要為特定伺服器憑證新增 (但不移除) 標籤的IAM實體,將下列陳述式新增至權限原則。
注意
此 iam:TagServerCertificate
動作需要您也包含 iam:ListServerCertificateTags
動作。
若要使用此原則,請取代 <CertificateName>
使用需要管理其標籤的服務器證書的名稱。若要瞭解如何使用此範例原則文件建立JSON原則,請參閱使用JSON編輯器建立原則。
{ "Effect": "Allow", "Action": [ "iam:ListServerCertificateTags", "iam:TagServerCertificate" ], "Resource": "arn:aws:iam::
<account-number>
:server-certificate/<CertificateName>
" }
或者,您可以使用 AWS 受管理的策略,例如IAMFullAccess
管理伺服器憑證上的標籤 (AWS CLI 或 AWS API)
您可以列出、連接或移除伺服器憑證的標籤。您可以使用 AWS CLI 或 AWS API來管理伺服器憑證的標籤。
列出目前附加至伺服器憑證的標籤 (AWS CLI 或 AWS API)
-
AWS CLI:AWS list-server-certificate-tags
-
AWS API: ListServerCertificateTags
將標籤附加至伺服器憑證 (AWS CLI 或 AWS API)
-
AWS CLI:AWS tag-server-certificate
-
AWS API: TagServerCertificate
從伺服器憑證 (AWS CLI 或 AWS API) 移除標籤
-
AWS CLI:AWS untag-server-certificate
-
AWS API: UntagServerCertificate
如需將標籤附加至其他 AWS 服務之資源的相關資訊,請參閱這些服務的說明文件。
如需使用標籤來設定權限原則的更精細權限的IAM相關資訊,請參閱IAM 政策元素:變數與標籤。