Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

标记服务器证书

如果您使用 IAM 管理 SSL/TLS 证书，则可以使用 Amazon CLI 或 Amazon API 标记 IAM 中的服务器证书。对于 Amazon Certificate Manager (ACM) 支持的区域中的证书，我们建议您使用 ACM 而不是 IAM 预置、管理和部署您的服务器证书。在不支持的区域中，您必须将 IAM 作为证书管理器。要了解 ACM 支持的具体区域，请参阅《Amazon Web Services 一般参考》中的 Amazon Certificate Manager 端点和限额。

您可以使用 IAM 标签键值对向服务器证书添加自定义属性。例如，要添加有关服务器证书拥有者者或管理员的信息，请添加标签键 owner 和标签值 net-eng。或者，您可以通过添加标签键 CostCenter 和标签值 1234 来指定成本中心。您可以使用标签控制对资源的访问权限或控制可附加到资源的标签。要了解有关使用标签控制访问的更多信息，请参阅 使用标签控制对 IAM 用户和角色的访问以及他们进行的访问。

您还可以在 Amazon STS 中使用标签，以在代入角色或联合身份用户身份时添加自定义属性。有关更多信息，请参阅 在 Amazon STS 中传递会话标签。

标记服务器证书所需的权限

您必须配置权限以允许 IAM 实体（用户或角色）标记服务器证书。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作：

要允许 IAM 实体（用户或角色）添加、列出或删除服务器证书的标签

将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的账户并将 <CertificateName> 替换为需要管理其标签的服务器证书的名称。要了解如何使用该示例 JSON 策略文档创建策略，请参阅 使用 JSON 编辑器创建策略。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListServerCertificateTags",
        "iam:TagServerCertificate",
        "iam:UntagServerCertificate"
    ],
    "Resource": "arn:aws:iam::<account-number>:server-certificate/<CertificateName>"
}

要允许 IAM 实体（用户或角色）向特定服务器证书添加标签

将以下语句添加到需要为特定服务器证书添加而不是删除标签的 IAM 实体的权限策略。

要使用此策略，请将 <CertificateName> 替换为需要管理其标签的服务器证书的名称。要了解如何使用该示例 JSON 策略文档创建策略，请参阅 使用 JSON 编辑器创建策略。

{
    "Effect": "Allow",
    "Action": [
        "iam:ListServerCertificateTags",
        "iam:TagServerCertificate"
    ],
    "Resource": "arn:aws:iam::<account-number>:server-certificate/<CertificateName>"
}

或者，也可以使用 Amazon 托管策略（如 IAMFullAccess）来提供对 IAM 的完全访问权限。

管理服务器证书（Amazon CLI 或 Amazon API）的标签

您可以列出、附加或删除服务器证书的标签。您可以使用 Amazon CLI 或 Amazon API 管理服务器证书的标签。

有关将标签附加到其他 Amazon 服务的资源的信息，请参阅这些服务的文档。

有关使用标签通过 IAM 权限策略设置更精细权限的信息，请参阅 IAM policy 元素：变量和标签。