标记 OpenID Connect (OIDC) 身份提供程序
您可以使用 IAM 标签键值向 IAM OpenID Connect (OIDC) 身份提供程序添加自定义属性。例如,要识别 OIDC 身份提供程序,您可以添加标签键 google
和标签值 oidc
。您可以使用标签控制对资源的访问权限或控制可附加到对象的标签。要了解有关使用标签控制访问的更多信息,请参阅 使用标签控制对 IAM 用户和角色的访问以及他们进行的访问。
标记 IAM OIDC 身份提供程序所需的权限
您必须配置权限以允许 IAM OIDC 实体(用户或角色)标记 IAM OIDC 身份提供程序。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作:
-
iam:ListOpenIDConnectProviderTags
-
iam:TagOpenIDConnectProvider
-
iam:UntagOpenIDConnectProvider
要允许 IAM 实体(用户或角色)添加、列出或删除 IAM OIDC 身份提供程序的标签
将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的账号并将 <OIDCProviderName>
替换为需要管理其标签的 OIDC 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略。
{ "Effect": "Allow", "Action": [ "iam:ListOpenIDConnectProviderTags", "iam:TagOpenIDConnectProvider", "iam:UntagOpenIDConnectProvider" ], "Resource": "arn:aws:iam::
<account-number>
:oidc-provider/<OIDCProviderName>
" }
允许 IAM 实体(用户或角色)向特定 IAM OIDC 身份提供程序添加标签
将以下语句添加到需要为特定身份提供程序添加而不是删除标签的 IAM 实体的权限策略。
注意
iam:TagOpenIDConnectProvider
操作要求您也包含 iam:ListOpenIDConnectProviderTags
操作。
要使用此策略,请将 <OIDCProviderName>
替换为需要管理其标签的 OIDC 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略。
{ "Effect": "Allow", "Action": [ "iam:ListOpenIDConnectProviderTags", "iam:TagOpenIDConnectProvider" ], "Resource": "arn:aws:iam::
<account-number>
:oidc-provider/<OIDCProviderName>
" }
或者,也可以使用 Amazon 托管策略(如 IAMFullAccess
管理 IAM OIDC 身份提供程序的标签(控制台)
您可以从 Amazon Web Services Management Console 中管理 IAM OIDC 身份提供程序的标签。
要管理 OIDC 身份提供程序的标签(控制台)
登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在控制台的导航窗格中,选择 Identity providers(身份提供程序),然后选择要编辑的身份提供程序的名称。
-
选择标签选项卡,然后在标签部分中,选择管理标签并完整以下操作之一:
-
如果 OIDC 身份提供程序还没有标签,请选择 Add tag(添加标签)或添加新标签。
-
编辑现有的标签键和值。
-
选择 Remove tag(删除标签)可删除标签。
-
-
然后选择 Save changes (保存更改)。
管理 IAM OIDC 身份提供程序(Amazon CLI 或 Amazon API)的标签
您可以列出、附加或删除 IAM OIDC 身份提供程序的标签。您可以使用 Amazon CLI 或 Amazon API 管理 IAM OIDC 身份提供程序的标签。
要列出当前附加到 IAM OIDC 身份提供程序(Amazon CLI 或 Amazon API)的标签
-
Amazon CLI:aws iam list-open-id-connect-provider-tags
-
Amazon API:ListOpenIDConnectProviderTags
要将标签附加到 IAM OIDC 身份提供程序(Amazon CLI 或 Amazon API)
-
Amazon CLI:aws iam tag-open-id-connect-provider
-
Amazon API:TagOpenIDConnectProvider
要从 IAM OIDC 身份提供程序(Amazon CLI 或 Amazon API)中删除标签
-
Amazon CLI:aws iam untag-open-id-connect-provider
-
Amazon API:UntagOpenIDConnectProvider
有关将标签附加到其他 Amazon 服务的资源的信息,请参阅这些服务的文档。
有关使用标签通过 IAM 权限策略设置更精细权限的信息,请参阅 IAM policy 元素:变量和标签。