# 标记虚拟 MFA 设备
<a name="id_tags_virtual-mfa"></a>

您可以使用 IAM 标签键值对向虚拟 MFA 设备添加自定义属性。例如，要为用户的虚拟 MFA 设备添加成本中心信息，可以添加标签键 **CostCenter** 和标签值 **1234**。您可以使用标签控制对资源的访问权限或控制可附加到对象的标签。要了解有关使用标签控制访问的更多信息，请参阅 [使用标签控制对 IAM 用户和角色的访问以及他们进行的访问](access_iam-tags.md)。

您还可以在 Amazon STS 中使用标签，以在代入角色或联合身份用户身份时添加自定义属性。有关更多信息，请参阅 [在 Amazon STS 中传递会话标签](id_session-tags.md)。

## 标记虚拟 MFA 设备所需的权限
<a name="id_tags_virtual-mfa_permissions"></a>

您必须配置权限以允许 IAM 实体（用户或角色）标记虚拟 MFA 设备。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作：
+ `iam:ListMFADeviceTags`
+ `iam:TagMFADevice`
+ `iam:UntagMFADevice`

**要允许 IAM 实体（用户或角色）添加、列出或删除虚拟 MFA 设备的标签**  
将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的账号并将 *<MFATokenID>* 替换为需要管理其标签的虚拟 MFA 设备的名称。要了解如何使用该示例 JSON 策略文档创建策略，请参阅 [使用 JSON 编辑器创建策略](access_policies_create-console.md#access_policies_create-json-editor)。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:ListMFADeviceTags",
        "iam:TagMFADevice",
        "iam:UntagMFADevice"
    ],
    "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>"
}
```

**要允许 IAM 实体（用户或角色）向特定虚拟 MFA 设备添加标签**  
将以下语句添加到需要为特定 MFA 设备添加而不是删除标签的 IAM 实体的权限策略。

**注意**  
`iam:TagMFADevice` 操作要求您也包含 `iam:ListMFADeviceTags` 操作。

要使用此策略，请将 *<MFATokenID>* 替换为需要管理其标签的虚拟 MFA 设备的名称。要了解如何使用该示例 JSON 策略文档创建策略，请参阅 [使用 JSON 编辑器创建策略](access_policies_create-console.md#access_policies_create-json-editor)。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:ListMFADeviceTags",
        "iam:TagMFADevice"
    ],
    "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>"
}
```

或者，也可以使用 Amazon 托管策略（如 [IAMFullAccess](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)）来提供对 IAM 的完全访问权限。

## 管理虚拟 MFA 设备（Amazon CLI 或 Amazon API）的标签
<a name="id_tags_virtual-mfa_procs-cli-api"></a>

您可以列出、附加或删除虚拟 MFA 设备的标签。您可以使用 Amazon CLI 或 Amazon API 管理虚拟 MFA 设备的标签。

**要列出当前附加到虚拟 MFA 设备（Amazon CLI 或 Amazon API）的标签**
+ Amazon CLI：[aws iam list-mfa-device-tags](https://docs.amazonaws.cn/cli/latest/reference/iam/list-mfa-device-tags.html)
+ Amazon API：[ListMFADeviceTags](https://docs.amazonaws.cn/IAM/latest/APIReference/API_ListMFADeviceTags.html)

**要将标签附加到虚拟 MFA 设备（Amazon CLI 或 Amazon API）**
+ Amazon CLI：[aws iam tag-mfa-device](https://docs.amazonaws.cn/cli/latest/reference/iam/tag-mfa-device.html)
+ Amazon API：[TagMFADevice](https://docs.amazonaws.cn/IAM/latest/APIReference/API_TagMFADevice.html)

**要从虚拟 MFA 设备（Amazon CLI 或 Amazon API）中删除标签**
+ Amazon CLI：[aws iam untag-mfa-device](https://docs.amazonaws.cn/cli/latest/reference/iam/untag-mfa-device.html)
+ Amazon API：[UntagMFADevice](https://docs.amazonaws.cn/IAM/latest/APIReference/API_UntagMFADevice.html)

有关将标签附加到其他 Amazon 服务的资源的信息，请参阅这些服务的文档。

有关使用标签通过 IAM 权限策略设置更精细权限的信息，请参阅 [IAM policy 元素：变量和标签](reference_policies_variables.md)。