# 标记客户管理型策略
<a name="id_tags_customer-managed-policies"></a>

您可以使用 IAM 标签键值对将自定义属性添加到客户托管策略。例如，要使用部门信息标记策略，您可以添加标签键 **Department** 和标签值 **eng**。或者，您可能希望标签策略表明它们适用于特定环境，例如 **Environment = lab**。您可以使用标签控制对资源的访问权限或控制可附加到资源的标签。要了解有关使用标签控制访问的更多信息，请参阅 [使用标签控制对 IAM 用户和角色的访问以及他们进行的访问](access_iam-tags.md)。

您还可以在 Amazon STS 中使用标签，以在代入角色或联合身份用户身份时添加自定义属性。有关更多信息，请参阅 [在 Amazon STS 中传递会话标签](id_session-tags.md)。

## 标记客户托管策略所需的权限
<a name="id_tags_customer-managed-policies_permissions"></a>

您必须配置权限以允许 IAM 实体（用户或角色）标记客户托管策略。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作：
+ `iam:ListPolicyTags`
+ `iam:TagPolicy`
+ `iam:UntagPolicy`

**要允许 IAM 实体（用户或角色）添加、列出或删除客户托管策略的标签**  
将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的账号并将 *<policyname>* 替换为需要管理其标签的策略的名称。要了解如何使用该示例 JSON 策略文档创建策略，请参阅 [使用 JSON 编辑器创建策略](access_policies_create-console.md#access_policies_create-json-editor)。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy",
        "iam:UntagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}
```

**要允许 IAM 实体（用户或角色）向特定客户托管策略添加标签**  
将以下语句添加到需要为特定策略添加而不是删除标签的 IAM 实体的权限策略。

**注意**  
`iam:TagPolicy` 操作要求您也包含 `iam:ListPolicyTags` 操作。

要使用此策略，请将 *<policyname>* 替换为需要管理其标签的策略的名称。要了解如何使用该示例 JSON 策略文档创建策略，请参阅 [使用 JSON 编辑器创建策略](access_policies_create-console.md#access_policies_create-json-editor)。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:ListPolicyTags",
        "iam:TagPolicy"
    ],
    "Resource": "arn:aws:iam::<account-number>:policy/<policyname>"
}
```

或者，也可以使用 Amazon 托管策略（如 [IAMFullAccess](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)）来提供对 IAM 的完全访问权限。

## 管理 IAM 客户托管策略的标签（控制台）
<a name="id_tags_customer-managed-policies_procs-console"></a>

您可以从 Amazon Web Services 管理控制台 中管理 IAM 客户托管策略的标签。

**要管理客户托管策略的标签（控制台）**

1. 登录 Amazon Web Services 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/)。

1. 在控制台的导航窗格中，选择 **Policies**（策略），然后选择要编辑的客户托管策略的名称。

1. 选择**标签**选项卡，然后选择**管理标签**。

1. 添加或删除标签以完成标签集。然后选择 **Save changes （保存更改)**。

## 管理 IAM 客户托管策略（Amazon CLI 或 Amazon API）的标签
<a name="id_tags_customer-managed-policies_procs-cli-api"></a>

您可以列出、附加或删除 IAM 客户托管策略的标签。您可以使用 Amazon CLI 或 Amazon API 管理 IAM 客户托管策略的标签。

**要列出当前附加到 IAM 客户托管策略（Amazon CLI 或 Amazon API）的标签**
+ Amazon CLI：[aws iam list-policy-tags](https://docs.amazonaws.cn/cli/latest/reference/iam/list-policy-tags.html)
+ Amazon API：[ListPolicyTags](https://docs.amazonaws.cn/IAM/latest/APIReference/API_ListPolicyTags.html)

**要将标签附加到 IAM 客户托管策略（Amazon CLI 或 Amazon API）**
+ Amazon CLI：[aws iam tag-policy](https://docs.amazonaws.cn/cli/latest/reference/iam/tag-policy.html)
+ Amazon API：[TagPolicy](https://docs.amazonaws.cn/IAM/latest/APIReference/API_TagPolicy.html)

**要从 IAM 客户托管策略（Amazon CLI 或 Amazon API）中删除标签**
+ Amazon CLI：[aws iam untag-policy](https://docs.amazonaws.cn/cli/latest/reference/iam/untag-policy.html)
+ Amazon API：[UntagPolicy](https://docs.amazonaws.cn/IAM/latest/APIReference/API_UntagPolicy.html)

有关将标签附加到其他 Amazon 服务的资源的信息，请参阅这些服务的文档。

有关使用标签通过 IAM 权限策略设置更精细权限的信息，请参阅 [IAM policy 元素：变量和标签](reference_policies_variables.md)。