# 标记 IAM SAML 身份提供者
<a name="id_tags_saml"></a>

您可以使用 IAM 标签键值对将自定义属性添加到 SAML 身份提供程序。例如，要识别提供商，您可以添加标签键 **okta** 和标签值 **saml**。您可以使用标签控制对资源的访问权限或控制可附加到对象的标签。要了解有关使用标签控制访问的更多信息，请参阅 [使用标签控制对 IAM 用户和角色的访问以及他们进行的访问](access_iam-tags.md)。

## 标记 SAML 身份提供程序所需的权限
<a name="id_tags_saml_permissions"></a>

您必须配置权限以允许 IAM 实体（用户或角色）标记基于 SAML 2.0 的身份提供程序 (IdP)。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作：
+ `iam:ListSAMLProviderTags`
+ `iam:TagSAMLProvider`
+ `iam:UntagSAMLProvider`

**要允许 IAM 实体（用户或角色）添加、列出或删除 SAML 身份提供程序的标签**  
将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的帐号并将 *<SAMLProviderName>* 替换为需要管理其标签的 SAML 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略，请参阅 [使用 JSON 编辑器创建策略](access_policies_create-console.md#access_policies_create-json-editor)。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:ListSAMLProviderTags",
        "iam:TagSAMLProvider",
        "iam:UntagSAMLProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:saml-provider/<SAMLProviderName>"
}
```

**要允许 IAM 实体（用户或角色）向特定的 SAML 身份提供程序添加标签**  
将以下语句添加到需要为特定 SAML 提供商添加而不是删除标签的 IAM 实体的权限策略。

**注意**  
`iam:TagSAMLProvider` 操作要求您也包含 `iam:ListSAMLProviderTags` 操作。

要使用此策略，请将 *<SAMLProviderName>* 替换为需要管理其标签的 SAML 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略，请参阅 [使用 JSON 编辑器创建策略](access_policies_create-console.md#access_policies_create-json-editor)。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:ListSAMLProviderTags",
        "iam:TagSAMLProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:saml-provider/<SAMLProviderName>"
}
```

或者，也可以使用 Amazon 托管策略（如 [IAMFullAccess](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)）来提供对 IAM 的完全访问权限。

## 管理 IAM SAML 身份提供程序的标签（控制台）
<a name="id_tags_saml_procs-console"></a>

您可以从 Amazon Web Services 管理控制台 中管理 IAM SAML 身份提供程序的标签。

**要管理 SAML 身份提供程序的标签（控制台）**

1. 登录 Amazon Web Services 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/)。

1. 在控制台的导航窗格中，选择 **Identity providers**（身份提供程序），然后选择要编辑的 SAML 身份提供程序的名称。

1. 选择**标签**选项卡，然后在**标签**部分中，选择**管理标签**并完整以下操作之一：
   + 如果 SAML 身份提供程序还没有标签，请选择 **Add tag**（添加标签），或者添加新标签。
   + 编辑现有的标签键和值。
   + 选择 **Remove tag**（删除标签）可删除标签。

1. 添加或删除标签以完成标签集。然后选择 **Save changes （保存更改)**。

## 管理 IAM SAML 身份提供程序（Amazon CLI 或 Amazon API）的标签
<a name="id_tags_saml_procs-cli-api"></a>

您可以列出、附加或删除 IAM SAML 身份提供程序的标签。您可以使用 Amazon CLI 或 Amazon API 管理 IAM SAML 身份提供程序的标签。

**要列出当前附加到 SAML 身份提供程序（Amazon CLI 或 Amazon API）的标签**
+ Amazon CLI：[aws iam list-saml-provider-tags](https://docs.amazonaws.cn/cli/latest/reference/iam/list-saml-provider-tags.html)
+ Amazon API：[ListSAMLProviderTags](https://docs.amazonaws.cn/IAM/latest/APIReference/API_ListSAMLProviderTags.html)

**要将标签附加到 SAML 身份提供程序（Amazon CLI 或 Amazon API）**
+ Amazon CLI：[aws iam tag-saml-provider](https://docs.amazonaws.cn/cli/latest/reference/iam/tag-saml-provider.html)
+ Amazon API：[TagSAMLProvider](https://docs.amazonaws.cn/IAM/latest/APIReference/API_TagSAMLProvider.html)

**要从 SAML 身份提供程序（Amazon CLI 或 Amazon API）中删除标签**
+ Amazon CLI：[aws iam untag-saml-provider](https://docs.amazonaws.cn/cli/latest/reference/iam/untag-saml-provider.html)
+ Amazon API：[UntagSAMLProvider](https://docs.amazonaws.cn/IAM/latest/APIReference/API_UntagSAMLProvider.html)

有关将标签附加到其他 Amazon 服务的资源的信息，请参阅这些服务的文档。

有关使用标签通过 IAM 权限策略设置更精细权限的信息，请参阅 [IAM policy 元素：变量和标签](reference_policies_variables.md)。