標記虛擬 MFA 裝置 - AWS Identity and Access Management

標記虛擬 MFA 裝置

您可以使用 IAM 標籤鍵值組將自訂屬性新增至虛擬 MFA 裝置。例如,若要新增使用者虛擬 MFA 裝置的成本中心資訊,您可以新增標籤鍵 CostCenter 和標籤值 1234。您可以使用標籤來控制對資源的存取權,或控制哪些標籤可以連接到物件。若要進一步了解有關使用標籤以控制存取的詳細資訊,請參閱使用標籤控制對 IAM 使用者和角色的存取

您也可以在 AWS STS 中使用標籤來在您擔任角色或與使用者聯合身分時新增自訂屬性。如需詳細資訊,請參閱 在 AWS STS 中傳遞工作階段標籤

標記虛擬 MFA 裝置所需的許可

您必須設定許可,允許 IAM 實體 (使用者或角色) 標記虛擬 MFA 裝置。您可在 IAM 政策中指定以下一個或所有 IAM 標籤動作:

  • iam:ListMFADeviceTags

  • iam:TagMFADevice

  • iam:UntagMFADevice

允許 IAM 實體 (使用者或角色) 新增、列出或移除虛擬 MFA 裝置的標籤

將下列陳述式新增至需要管理標籤之 IAM 實體的許可政策。使用您的帳戶並使用需要其標籤受管之虛擬 MFA 裝置的名稱取代 <MFATokenID>。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 在 JSON 標籤上建立政策

{ "Effect": "Allow", "Action": [ "iam:ListMFADeviceTags", "iam:TagMFADevice", "iam:UntagMFADevice" ], "Resource": "arn:aws:iam:*:<account-number>:mfa/<MFATokenID>" }

允許 IAM 實體 (使用者或角色) 將標籤新增至特定虛擬 MFA 裝置

將下列陳述式新增至 IAM 實體的許可政策,而該實體需要新增 (非移除) 特定 MFA 裝置的標籤。

注意

iam:TagMFADevice 動作需要您也包含 iam:ListMFADeviceTags 動作。

若要使用此政策,請用需要其標籤受管之虛擬 MFA 裝置的名稱取代 <MFATokenID>。若要了解如何使用此範例 JSON 政策文件來建立政策,請參閱 在 JSON 標籤上建立政策

{ "Effect": "Allow", "Action": [ "iam:ListMFADeviceTags", "iam:TagMFADevice" ], "Resource": "arn:aws:iam:*:<account-number>:mfa/<MFATokenID>" }

或者,您可以使用 AWS 受管政策,例如 IAMFullAccess 來提供 IAM 的完整存取權。

管理虛擬 MFA 裝置的標籤 (AWS CLI 或 AWS API)

您可以列出、連接或移除虛擬 MFA 裝置的標籤。您可以使用 AWS CLI 或 AWS API 來管理虛擬 MFA 裝置的標籤。

列出目前連接至虛擬 MFA 裝置的標籤 (AWS CLI 或 AWS API)

將標籤連接至虛擬 MFA 裝置 (AWS CLI 或 AWS API)

從虛擬 MFA 裝置移除標籤 (AWS CLI 或 AWS API)

如需將標籤連接至其他 AWS 服務的資源,請參閱這些服務的文件。

如需使用標籤來設定多個精密許可搭配 IAM 許可政策的更多資訊,請參閱 IAM 政策元素:變數與標籤