为 Amazon IAM Identity Center 资源添加标签 - Amazon IAM Identity Center
标签限制使用控制台管理标签Amazon CLI 示例API 操作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon IAM Identity Center 资源添加标签

标签 是自定义的属性标签,您将其添加到 Amazon 资源以便更轻松地确定、组织和搜索资源。每个标签具有两个部分:

  • 标签键(例如,CostCenterEnvironmentProject)。标签键最大长度可为 128 个字符,且不区分大小写。

  • 标签值(例如,111122223333Production)。标签值的最大长度可为 256 个字符,与标签键一样区分大小写。可以将标签的值设为空的字符串,但是不能将其设为空值。省略标签值与使用空字符串效果相同。

标签有助于您标识和组织 Amazon 资源。许多 Amazon 服务支持标记,因此,您可以将同一标签分配给来不同服务的资源,以指示这些资源是相关的。例如,您可以将相同的标签分配给 IAM Identity Center 实例中的特定权限集。有关标记策略的更多信息,请参阅 Amazon Web Services 一般参考 指南中的标记 Amazon 资源标记最佳实践

除了通过标签标识、组织和跟踪 Amazon 资源之外,您还可以在 IAM 策略中使用标签,帮助控制哪些人可以查看并与您的资源交互。要了解有关使用标签控制访问的更多信息,请参阅 IAM 用户指南中的使用标签控制对 Amazon 资源的访问。例如,您可以允许用户更新 IAM Identity Center 权限集,但前提是 IAM Identity Center 权限集具有带有该用户名称值的 owner 标签。

目前,您只能将标签应用于权限集。您无法将标签应用到 IAM Identity Center 在 Amazon Web Services 账户 中创建的相应角色。您可以使用 IAM Identity Center 控制台 Amazon CLI 或 IAM Identity Center API 添加、编辑或删除权限集的标签。

以下部分提供有关 IAM Identity Center 标签的更多信息。

标签限制

以下基本限制适用于 IAM Identity Center 资源上的标签:

  • 您可以分配给资源的最大标签数量为 50。

  • 最大键长度为 128 个 Unicode 字符。

  • 最大值长度为 256 个 Unicode 字符。

  • 标签键和值的有效字符为:

    a-z、A-Z、0-9、空格和以下字符: _ 。 : / = + - 和 @

  • 键和值区分大小写。

  • 请不要使用 aws: 作为键的前缀;它保留为供 Amazon 使用

使用 IAM Identity Center 控制台管理标签

您可以使用 IAM Identity Center 控制台添加、编辑和删除与您的实例或权限集关联的标签。

要管理 IAM Identity Center 控制台的权限集标签

  1. 打开 IAM Identity Center 控制台

  2. 选择权限集

  3. 选择包含您要管理的标签的权限集的名称。

  4. 权限选项卡上的标签下,执行以下操作之一,然后继续执行下一步:

    1. 如果已为此权限集分配标签,请选择编辑标签

    2. 如果没有标签分配给此权限集,请选择添加标签

  5. 对于每个新标签,在值(可选)列中键入值。在完成后,选择保存更改

要删除标签,请在要删除的标签旁边的删除列中选择 X

要管理 IAM Identity Center 实例的标签

  1. 打开 IAM Identity Center 控制台

  2. 选择设置

  3. 选择标签选项卡。

  4. 对于每个标签,在值(可选)字段中键入值。完成后,选择添加新标签按钮。

要移除标签,请选择要移除的标签旁的移除按钮。

Amazon CLI 示例

Amazon CLI 提供可用于管理分配给权限集的标签的命令。

分配标签

使用以下命令将标签分配给您的权限集。

tag-resource 权限集命令

使用 sso 命令集中的 tag-resource 将标签分配给权限集:

$ aws sso-admin tag-resource \
> --instance-arn sso-instance-arn \
> --resource-arn sso-resource-arn \
> --tags Stage=Test

此命令包含以下参数:

  • instance-arn——将在其下运行操作的 IAM Identity Center 实例的 Amazon 资源名称 (ARN)。

  • resource-arn——具有要列出的标签的资源的 ARN。

  • tags – 标签的键值对。

要一次分配多个标签,请以逗号分隔的列表形式指定它们:

$ aws sso-admin tag-resource \
> --instance-arn sso-instance-arn \
> --resource-arn sso-resource-arn \
> --tags Stage=Test,CostCenter=80432,Owner=SysEng

查看标签

使用以下命令查看您已分配给权限集的标签。

list-tags-for-resource 权限集命令

使用 sso 命令集中的 list-tags-for-resource 查看分配给权限集的标签:

$ aws sso-admin list-tags-for-resource --resource-arn sso-resource-arn

删除标签

使用以下命令从权限集中删除标签。

untag-resource 权限集命令

通过在 sso 命令集中使用 untag-resource 从权限集中删除标签:

$ aws sso-admin untag-resource \
> --instance-arn sso-instance-arn \
> --resource-arn sso-resource-arn \
> --tag-keys Stage CostCenter Owner

对于 --tag-keys 参数,指定一个或多个标签键,但不包含标签值。

创建权限集时应用标签

在创建权限集时使用以下命令分配标签。

create-permission-set 命令以及标签

使用 create-permission-set 命令创建权限集时,可以通过 --tags 参数指定标签:

$ aws sso-admin create-permission-set \
> --instance-arn sso-instance-arn \
> --name permission=set-name \
> --tags Stage=Test,CostCenter=80432,Owner=SysEng

使用 IAM Identity Center API 管理标签

您可以在 IAM Identity Center API 中使用以下操作来管理权限集的标签。

IAM Identity Center 实例标签的 API 操作

使用以下 API 操作来分配、查看和删除权限集或 IAM Identity Center 实例的标签。