标记 OpenID Connect (OIDC) 身份提供商 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

标记 OpenID Connect (OIDC) 身份提供商

您可以使用 IAM 标签键值向 IAM OpenID Connect (OIDC) 身份提供商添加自定义属性。例如,要识别 OIDC 身份提供商,您可以添加标签键 google 和标签值 oidc。您可以使用标签控制对资源的访问权限或控制可附加到对象的标签。要了解有关使用标签控制访问的更多信息,请参阅使用标签控制对 IAM 用户和角色的访问以及他们进行的访问

标记 IAM OIDC 身份提供商所需的权限

您必须配置权限以允许 IAM OIDC 实体(用户或角色)标记 IAM OIDC 身份提供商。您可以在 IAM 策略中指定以下一项或所有 IAM 标签操作:

  • iam:ListOpenIDConnectProviderTags

  • iam:TagOpenIDConnectProvider

  • iam:UntagOpenIDConnectProvider

要允许 IAM 实体(用户或角色)添加、列出或删除 IAM OIDC 身份提供商的标签

将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的账号并将 <OIDCProviderName> 替换为需要管理其标签的 OIDC 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅在“JSON”选项卡上创建策略

{ "Effect": "Allow", "Action": [ "iam:ListOpenIDConnectProviderTags", "iam:TagOpenIDConnectProvider", "iam:UntagOpenIDConnectProvider" ], "Resource": "arn:aws:iam:*:<account-number>:oidc-provider/<OIDCProviderName>" }

允许 IAM 实体(用户或角色)向特定 IAM OIDC 身份提供商添加标签

将以下语句添加到需要为特定身份提供商添加而不是删除标签的 IAM 实体的权限策略。

注意

iam:TagOpenIDConnectProvider 操作要求您也包含 iam:ListOpenIDConnectProviderTags 操作。

要使用此策略,请将 <OIDCProviderName> 替换为需要管理其标签的 OIDC 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅在“JSON”选项卡上创建策略

{ "Effect": "Allow", "Action": [ "iam:ListOpenIDConnectProviderTags", "iam:TagOpenIDConnectProvider" ], "Resource": "arn:aws:iam:*:<account-number>:oidc-provider/<OIDCProviderName>" }

或者,也可以使用 Amazon 托管策略(如 IAMFullAccess)来提供对 IAM 的完全访问权限。

管理 IAM OIDC 身份提供商的标签(控制台)

您可以从 Amazon Web Services Management Console 中管理 IAM OIDC 身份提供商的标签。

注意

您只能使用新的身份提供商控制台体验来管理标签。

要管理 OIDC 身份提供商的标签(控制台)

  1. 登录 Amazon Web Services Management Console,打开 IAM 控制台 https://console.aws.amazon.com/iam/

  2. 在控制台的导航窗格中,选择 Identity providers(身份提供商),然后选择要编辑的身份提供商的名称。

  3. Tags(标签)部分中,选择 Manage tags(管理标签),然后完整以下操作之一:

    • 如果 OIDC 身份提供商还没有标签,请选择 Add tag(添加标签)或添加新标签。

    • 编辑现有的标签键和值。

    • 选择 Remove tag(删除标签)可删除标签。

  4. 然后选择 Save changes (保存更改)

管理 IAM OIDC 身份提供商(Amazon CLI 或 Amazon API)的标签

您可以列出、附加或删除 IAM OIDC 身份提供商的标签。您可以使用 Amazon CLI 或 Amazon API 管理 IAM OIDC 身份提供商的标签。

要列出当前附加到 IAM OIDC 身份提供商(Amazon CLI 或 Amazon API)的标签

要将标签附加到 IAM OIDC 身份提供商(Amazon CLI 或 Amazon API)

要从 IAM OIDC 身份提供商(Amazon CLI 或 Amazon API)中删除标签

有关将标签附加到其他 Amazon 服务的资源的信息,请参阅这些服务的文档。

有关使用标签通过 IAM 权限策略设置更精细权限的信息,请参阅 IAM 策略元素:变量和标签