标记客户管理型策略 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

标记客户管理型策略

您可以使用 IAM 标签键值对将自定义属性添加到客户托管策略。例如,要使用部门信息标记策略,您可以添加标签键 Department 和标签值 eng。或者,您可能希望标签策略表明它们适用于特定环境,例如 Environment = lab。您可以使用标签控制对资源的访问权限或控制可附加到资源的标签。要了解有关使用标签控制访问的更多信息,请参阅 使用标签控制对 IAM 用户和角色的访问以及他们进行的访问

您还可以在 Amazon STS 中使用标签,以在代入角色或联合身份用户身份时添加自定义属性。有关更多信息,请参阅 在 Amazon STS 中传递会话标签

标记客户托管策略所需的权限

您必须配置权限以允许 IAM 实体(用户或角色)标记客户托管策略。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作:

  • iam:ListPolicyTags

  • iam:TagPolicy

  • iam:UntagPolicy

要允许 IAM 实体(用户或角色)添加、列出或删除客户托管策略的标签

将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的账号并将 <policyname> 替换为需要管理其标签的策略的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略

{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy", "iam:UntagPolicy" ], "Resource": "arn:aws:iam::<account-number>:policy/<policyname>" }
要允许 IAM 实体(用户或角色)向特定客户托管策略添加标签

将以下语句添加到需要为特定策略添加而不是删除标签的 IAM 实体的权限策略。

注意

iam:TagPolicy 操作要求您也包含 iam:ListPolicyTags 操作。

要使用此策略,请将 <policyname> 替换为需要管理其标签的策略的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略

{ "Effect": "Allow", "Action": [ "iam:ListPolicyTags", "iam:TagPolicy" ], "Resource": "arn:aws:iam::<account-number>:policy/<policyname>" }

或者,也可以使用 Amazon 托管策略(如 IAMFullAccess)来提供对 IAM 的完全访问权限。

管理 IAM 客户托管策略的标签(控制台)

您可以从 Amazon Web Services Management Console 中管理 IAM 客户托管策略的标签。

要管理客户托管策略的标签(控制台)
  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在控制台的导航窗格中,选择 Policies(策略),然后选择要编辑的客户托管策略的名称。

  3. 选择标签选项卡,然后选择管理标签

  4. 添加或删除标签以完成标签集。然后选择 Save changes (保存更改)

管理 IAM 客户托管策略(Amazon CLI 或 Amazon API)的标签

您可以列出、附加或删除 IAM 客户托管策略的标签。您可以使用 Amazon CLI 或 Amazon API 管理 IAM 客户托管策略的标签。

要列出当前附加到 IAM 客户托管策略(Amazon CLI 或 Amazon API)的标签
要将标签附加到 IAM 客户托管策略(Amazon CLI 或 Amazon API)
要从 IAM 客户托管策略(Amazon CLI 或 Amazon API)中删除标签

有关将标签附加到其他 Amazon 服务的资源的信息,请参阅这些服务的文档。

有关使用标签通过 IAM 权限策略设置更精细权限的信息,请参阅 IAM policy 元素:变量和标签