为 Amazon EC2 角色标记实例配置文件
当您启动 Amazon EC2 实例时,可指定要与实例关联的 IAM 角色。实例配置文件是 IAM 角色的容器,可用来在实例启动时将角色信息传递给 Amazon EC2 实例。您可以在使用 Amazon CLI 或 Amazon API 时标记实例配置文件。
您可以使用 IAM 标签键值对将自定义属性添加到实例配置文件。例如,要将部门信息添加到实例配置文件,您可以添加标签键 access-team
和标签值 eng
。这样做可以让具有匹配标签的主体访问具有相同标签的实例配置文件。您可以使用多个标签键值对来指定团队和项目:access-team
= eng
和 project = peg
。您可以使用标签控制用户对资源的访问权限或控制可附加到用户的标签。要了解有关使用标签控制访问的更多信息,请参阅 使用标签控制对 IAM 用户和角色的访问以及他们进行的访问。
您还可以在 Amazon STS 中使用标签,以在代入角色或联合身份用户身份时添加自定义属性。有关更多信息,请参阅 在 Amazon STS 中传递会话标签。
标记实例配置文件所需的权限
您必须配置权限以允许 IAM 实体(用户或角色)标记实例配置文件。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作:
-
iam:ListInstanceProfileTags
-
iam:TagInstanceProfile
-
iam:UntagInstanceProfile
要允许 IAM 实体(用户或角色)添加、列出或删除实例配置文件的标签
将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的账号并将 <InstanceProfileName>
替换为需要管理其标签的实例配置文件的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略。
{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile", "iam:UntagInstanceProfile" ], "Resource": "arn:aws:iam::
<account-number>
:instance-profile/<InstanceProfileName>
" }
允许 IAM 实体(用户或角色)向特定实例配置文件添加标签
将以下语句添加到需要为特定实例配置文件添加而不是删除标签的 IAM 实体的权限策略。
注意
iam:TagInstanceProfile
操作要求您也包含 iam:ListInstanceProfileTags
操作。
要使用此策略,请将 <InstanceProfileName>
替换为需要管理其标签的实例配置文件的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略。
{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile" ], "Resource": "arn:aws:iam::
<account-number>
:instance-profile/<InstanceProfileName>
" }
或者,也可以使用 Amazon 托管策略(如 IAMFullAccess
管理实例配置文件(Amazon CLI 或 Amazon API)的标签
您可以列出、附加或删除实例配置文件的标签。您可以使用 Amazon CLI 或 Amazon API 管理实例配置文件的标签。
要列出当前附加到实例配置文件的标签(Amazon CLI 或 Amazon API)
-
Amazon CLI:aws iam list-instance-profile-tags
-
Amazon API:ListInstanceProfileTags
要将标签附加到实例配置文件(Amazon CLI 或 Amazon API)
-
Amazon CLI:aws iam tag-instance-profile
-
Amazon API:TagInstanceProfile
要从实例配置文件(Amazon CLI 或 Amazon API)中删除标签
-
Amazon CLI:aws iam untag-instance-profile
-
Amazon API:UntagInstanceProfile
有关将标签附加到其他 Amazon 服务的资源的信息,请参阅这些服务的文档。
有关使用标签通过 IAM 权限策略设置更精细权限的信息,请参阅 IAM policy 元素:变量和标签。