标记 IAM SAML 身份提供程序 - Amazon Identity and Access Management
标记 SAML 身份提供程序所需的权限管理 IAM SAML 身份提供程序的标签(控制台)管理 IAM SAML 身份提供程序(Amazon CLI 或 Amazon API)的标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

标记 IAM SAML 身份提供程序

您可以使用 IAM 标签键值对将自定义属性添加到 SAML 身份提供程序。例如,要识别提供商,您可以添加标签键 okta 和标签值 saml。您可以使用标签控制对资源的访问权限或控制可附加到对象的标签。要了解有关使用标签控制访问的更多信息,请参阅使用标签控制对 IAM 用户和角色的访问以及他们进行的访问

标记 SAML 身份提供程序所需的权限

您必须配置权限以允许 IAM 实体(用户或角色)标记基于 SAML 2.0 的身份提供程序 (IdP)。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作:

  • iam:ListSAMLProviderTags

  • iam:TagSAMLProvider

  • iam:UntagSAMLProvider

要允许 IAM 实体(用户或角色)添加、列出或删除 SAML 身份提供程序的标签

将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的帐号并将 <SAMLProviderName> 替换为需要管理其标签的 SAML 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅使用 JSON 编辑器创建策略

{
    "Effect": "Allow",
    "Action": [
        "iam:ListSAMLProviderTags",
        "iam:TagSAMLProvider",
        "iam:UntagSAMLProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:saml-provider/<SAMLProviderName>"
}
要允许 IAM 实体(用户或角色)向特定的 SAML 身份提供程序添加标签

将以下语句添加到需要为特定 SAML 提供商添加而不是删除标签的 IAM 实体的权限策略。

注意

iam:TagSAMLProvider 操作要求您也包含 iam:ListSAMLProviderTags 操作。

要使用此策略,请将 <SAMLProviderName> 替换为需要管理其标签的 SAML 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅使用 JSON 编辑器创建策略

{
    "Effect": "Allow",
    "Action": [
        "iam:ListSAMLProviderTags",
        "iam:TagSAMLProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:saml-provider/<SAMLProviderName>"
}

或者,也可以使用 Amazon 托管策略(如 IAMFullAccess)来提供对 IAM 的完全访问权限。

管理 IAM SAML 身份提供程序的标签(控制台)

您可以从 Amazon Web Services Management Console 中管理 IAM SAML 身份提供程序的标签。

注意

您只能使用新的身份提供程序控制台体验来管理标签。

要管理 SAML 身份提供程序的标签(控制台)

  1. 登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在控制台的导航窗格中,选择 Identity providers(身份提供程序),然后选择要编辑的 SAML 身份提供程序的名称。

  3. Tags(标签)部分中,选择 Manage tags(管理标签),然后完整以下操作之一:

    • 如果 SAML 身份提供程序还没有标签,请选择 Add tag(添加标签),或者添加新标签。

    • 编辑现有的标签键和值。

    • 选择 Remove tag(删除标签)可删除标签。

  4. 添加或删除标签以完成标签集。然后选择 Save changes (保存更改)

管理 IAM SAML 身份提供程序(Amazon CLI 或 Amazon API)的标签

您可以列出、附加或删除 IAM SAML 身份提供程序的标签。您可以使用 Amazon CLI 或 Amazon API 管理 IAM SAML 身份提供程序的标签。

要列出当前附加到 SAML 身份提供程序(Amazon CLI 或 Amazon API)的标签
要将标签附加到 SAML 身份提供程序(Amazon CLI 或 Amazon API)
要从 SAML 身份提供程序(Amazon CLI 或 Amazon API)中删除标签

有关将标签附加到其他 Amazon 服务的资源的信息,请参阅这些服务的文档。

有关使用标签通过 IAM 权限策略设置更精细权限的信息,请参阅 IAM policy 元素:变量和标签