標記 IAM 使用者 - AWS Identity and Access Management
標記 IAM 使用者所需的許可管理 IAM 使用者的標籤 (主控台)管理 IAM 使用者 (AWS CLI 或 AWS API) 的標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

標記 IAM 使用者

您可以使用 IAM 標籤鍵值組向 IAM 使用者新增自訂屬性。例如,若要將位置資訊新增到使用者,您可以新增標籤鍵 location 和標籤值 us_wa_seattle。或者,您可以使用三個不同的位置的標籤鍵值組:loc-country = usloc-state = waloc-city = seattle。您可以使用標籤來控制使用者對資源的存取權,或控制哪些標籤可以連接到使用者。若要進一步了解有關使用標籤以控制存取的詳細資訊,請參閱使用標籤控制對 IAM 使用者和角色的存取

當您擔任角色或聯合使用者時,您也可以使用中的標籤 AWS STS 來新增自訂屬性。如需詳細資訊,請參閱 傳遞工作階段標籤 AWS STS

標記 IAM 使用者所需的許可

您必須設定許可,以允許 IAM 使用者標記其他使用者。您可在 IAM 政策中指定以下一個或所有 IAM 標籤動作:

  • iam:ListUserTags

  • iam:TagUser

  • iam:UntagUser

允許 IAM 實體新增、列出,或移除特定使用者的標籤

將下列陳述式新增至需要管理標籤之 IAM 使用者的許可政策。使用您的帳戶並使用需要其標籤受管之使用者的名稱取代 <username>。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser",
        "iam:UntagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}
允許 IAM 使用者自行管理標籤

將下列陳述式新增至使用者的許可政策,以讓使用者能管理其自身的標籤。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser",
        "iam:UntagUser"
    ],
    "Resource": "arn:aws:iam::user/${aws:username}"
}
允許 IAM 使用者新增特定使用者的標籤

將下列陳述式新增至 IAM 使用者的許可政策,而該使用者需要新增 (非移除) 特定使用者的標籤。

注意

iam:TagUser 動作需要您也包含 iam:ListUserTags 動作。

若要使用此政策,請使用其標籤需要受管之使用者的名稱取代 <username>。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 正在使用 JSON 編輯器建立政策

{
    "Effect": "Allow",
    "Action": [
        "iam:ListUserTags",
        "iam:TagUser"
    ],
    "Resource": "arn:aws:iam::<account-number>:user/<username>"
}

或者,您可以使用受 AWS 管政策 (例如 IAM) FullAccess 提供 IAM 的完整存取權。

管理 IAM 使用者的標籤 (主控台)

您可以從 AWS Management Console管理 IAM 使用者的標籤。

管理使用者的標籤 (主控台)

  1. 登入 AWS Management Console 並開啟 IAM 主控台,網址為 https://console.aws.amazon.com/iam/

  2. 在主控台導覽窗格中,選擇 Users (使用者),然後選擇您要編輯的使用者名稱。

  3. 選擇 Tags (標籤) 標籤,然後完成以下其中一個動作:

    • 如果使用者還沒有標籤,請選擇 新增標籤

    • 選擇 Manage tags (管理標籤) 來管理現有的一組標籤。

  4. 新增或移除標籤來完成標籤的設定。接著選擇 Save changes (儲存變更)

管理 IAM 使用者 (AWS CLI 或 AWS API) 的標籤

您可以列出、連接,或移除 IAM 使用者的標籤。您可以使用 AWS CLI 或 AWS API 來管理 IAM 使用者的標籤。

列出目前附加至 IAM 使用者 (AWS CLI 或 AWS API) 的標籤
若要將標籤附加至 IAM 使用者 (AWS CLI 或 AWS API)
若要從 IAM 使用者 (AWS CLI 或 AWS API) 移除標籤

如需將標籤附加至其他 AWS 服務之資源的相關資訊,請參閱這些服務的說明文件。

如需使用標籤來設定多個精密許可搭配 IAM 許可政策的更多資訊,請參閱 IAM 政策元素:變數與標籤