Markieren von IAM-Ressourcen - AWS Identitäts- und Zugriffsverwaltung
Wählen Sie eine Konvention zur Benennung von AWS TagsRegeln für das Tagging in IAM und AWS STS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Markieren von IAM-Ressourcen

Ein Tag ist eine benutzerdefinierte Attributbezeichnung, die Sie einer AWS -Ressource zuweisen können. Jedes Tag besteht aus zwei Teilen:

  • einem Tag-Schlüssel (z. B. CostCenter, Environment, Project oder Purpose).

  • einem optionalen Feld, das als Tag-Wert bezeichnet wird (z. B. 111122223333, Production oder ein Team-Name). Ein nicht angegebener Tag-Wert entspricht einer leeren Zeichenfolge.

Zusammen werden sie als Schlüssel-Wert-Paare bezeichnet. Informationen zu Beschränkungen für die Anzahl der Tags, die Sie für IAM-Ressourcen haben können, finden Sie unter IAM und Kontingente AWS STS.

Anmerkung

Einzelheiten zur Berücksichtigung der Groß- und Kleinschreibung bei Tag-Schlüsseln und Tag-Schlüsselwerten finden Sie unter Case sensitivity.

Mithilfe von Tags können Sie Ihre AWS Ressourcen identifizieren und organisieren. Viele AWS Dienste unterstützen Tagging, sodass Sie Ressourcen aus verschiedenen Diensten dasselbe Tag zuweisen können, um anzuzeigen, dass die Ressourcen miteinander verknüpft sind. Sie können beispielsweise das gleiche Tag einer IAM-Rolle zuweisen, das Sie einem Amazon S3-Bucket zuweisen. Weitere Informationen zu Tagging-Strategien finden Sie im Benutzerhandbuch zum Markieren von AWS Ressourcen.

Sie können Ihre IAM-Ressourcen nicht nur mit Tags identifizieren, organisieren und verfolgen, sondern auch Tags in IAM-Richtlinien verwenden, um zu kontrollieren, wer Ihre Ressourcen anzeigen und mit ihnen interagieren kann. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.

Sie können Tags auch verwenden AWS STS , um benutzerdefinierte Attribute hinzuzufügen, wenn Sie eine Rolle übernehmen oder einen Benutzer zusammenschließen. Weitere Informationen finden Sie unter Sitzungs-Tags übergeben AWS STS.

Wählen Sie eine Konvention zur Benennung von AWS Tags

Wenn Sie mit dem Anfügen von Tags an Ihre IAM-Ressourcen beginnen möchten, wählen Sie Ihre Tag-Benennungskonvention sorgfältig. Wenden Sie dieselbe Konvention auf alle Ihre AWS Tags an. Dies ist besonders wichtig, wenn Sie Tags in Richtlinien verwenden, um den Zugriff auf AWS Ressourcen zu kontrollieren. Wenn Sie bereits Tags in AWS verwenden, überprüfen Sie Ihre Namenskonvention und passen Sie sie entsprechend an.

Anmerkung

Wenn Ihr Konto Mitglied von ist AWS Organizations, finden Sie unter Tag-Richtlinien im Benutzerhandbuch für Organizations weitere Informationen zur Verwendung von Stichwörtern in Organizations.

Best Practices für Tag-Benennung

Dies sind einige Best Practices und Namenskonventionen für Tags.

Stellen Sie sicher, dass Tag-Namen konsistent verwendet werden. Zum Beispiel sind die Tags CostCenter und costcenter unterschiedlich, sodass eines möglicherweise als Kostenverteilungs-Tag für Finanzanalysen und Berichte konfiguriert ist und das andere möglicherweise nicht. In ähnlicher Weise wird das Name Tag für viele Ressourcen in der AWS Konsole angezeigt, das name Tag jedoch nicht. Einzelheiten zur Berücksichtigung der Groß- und Kleinschreibung bei Tag-Schlüsseln und Tag-Schlüsselwerten finden Sie unter Case sensitivity.

Eine Reihe von Tags ist von verschiedenen AWS Diensten vordefiniert AWS oder wird automatisch von diesen erstellt. Bei vielen AWS-definierten Tagnamen werden ausschließlich Kleinbuchstaben verwendet, wobei Wörter im Namen durch Bindestriche voneinander getrennt werden, und Präfixe, um den Quelldienst für das Tag zu identifizieren. Beispielsweise:

  • aws:ec2spot:fleet-request-id identifiziert den Amazon EC2 Spot Instance Request, der die Instance gestartet hat.

  • aws:cloudformation:stack-nameidentifiziert den AWS CloudFormation Stapel, der die Ressource erstellt hat.

  • elasticbeanstalk:environment-name identifiziert die Anwendung, die die Ressource erstellt hat.

Benennen Sie Ihre Tags in Kleinbuchstaben, mit Bindestrichen, die Wörter trennen, und einem Präfix, das den Namen der Organisation oder den abgekürzten Namen identifiziert. Für ein fiktives Unternehmen mit dem Namen könnten Sie AnyCompanybeispielsweise Tags definieren wie:

  • anycompany:cost-center, um den internen Cost Center-Code zu identifizieren

  • anycompany:environment-type, um festzustellen, ob es sich bei der Umgebung um Entwicklung, Test oder Produktion handelt

  • anycompany:application-id, um die Anwendung zu identifizieren, für die die Ressource erstellt wurde

Das Präfix stellt sicher, dass Tags eindeutig als von Ihrer Organisation definiert wurden und nicht von AWS einem Drittanbieter-Tool, das Sie möglicherweise verwenden. Die Verwendung von Kleinbuchstaben mit Bindestrichen für Trennzeichen vermeidet Verwirrung bei der Großschreibung eines Tag-Namens. Zum Beispiel ist es einfacher, sich anycompany:project-id zu merken als ANYCOMPANY:ProjectID, anycompany:projectID oderAnycompany:ProjectId.

Regeln für das Tagging in IAM und AWS STS

Eine Reihe von Konventionen reguliert die Erstellung und Anwendung von Tags in IAM und AWS STS.

Benennen von Tags

Beachten Sie bei der Formulierung einer Konvention zur Benennung von Tags für IAM-Ressourcen, Sitzungen mit übernommener AWS STS Rolle und Verbundbenutzersitzungen die folgenden Konventionen: AWS STS

Zeichenanforderungen – Tag-Schlüssel und -Werte können eine beliebige Kombination aus Buchstaben, Zahlen, Leerzeichen und den Symbolen _ . : / = + - @ enthalten.

Groß-/Kleinschreibung – Groß-/Kleinschreibung für Tag-Schlüssel hängt vom Typ der getaggten IAM-Ressource ab. Tag-Schlüsselwerte für IAM-Benutzer und IAM-Rollen unterscheiden nicht zwischen Groß-/Kleinschreibung, die Groß-/Kleinschreibung wird jedoch berücksichtigt. Dies bedeutet, dass Sie keine separaten Department- und department-Tag-Schlüssel haben können. Wenn Sie einen Benutzer mit dem Department=finance-Tag markiert haben und Sie das department=hr-Tag hinzufügen, wird das erste Tag ersetzt. Ein zweites Tag wird nicht hinzugefügt.

Bei anderen IAM-Ressourcentypen wird bei Tag-Schlüsselwerten die Groß-/Kleinschreibung unterscheiden. Das bedeutet, dass Sie separate Costcenter- und costcenter-Tag-Schlüssel haben können. Wenn Sie beispielsweise eine von Kunden verwaltete Richtlinie mit dem Costcenter = 1234-Tag markiert haben und das costcenter = 5678-Tag hinzufügen, verfügt die Richtlinie über die Costcenter- und die costcenter-Tag-Schlüssel.

Als Best Practice empfehlen wir Ihnen, die Verwendung ähnlicher Tags bei inkonsistenter Groß-/Kleinschreibung zu vermeiden. Wir empfehlen Ihnen, sich für eine einheitliche Schreibweise der Tag-Benennungen zu entscheiden und diese Strategie für alle Ressourcentypen umzusetzen. Weitere Informationen zu bewährten Methoden für das Tagging finden Sie unter Tagging Resources im. AWS Allgemeine AWS-Referenz

Die folgenden Listen zeigen die Unterschiede in der Groß-/Kleinschreibung für Tag-Schlüssel, die an IAM-Ressourcen angehängt sind.

Tag-Schlüsselwerte unterscheiden nicht zwischen Groß-/Kleinschreibung:

  • IAM-Rollen

  • IAM-Benutzer

Bei Tag-Schlüsselwerten wird die Groß-/Kleinschreibung berücksichtigt.

  • Kundenverwaltete Richtlinien

  • Instance-Profile

  • OpenID-Connect-Identitätsanbieter

  • SAML-Identitätsanbieter

  • Serverzertifikate

  • Virtuelle MFA-Geräte

Darüber hinaus gelten die folgenden Regeln:

  • Sie können keinen Tag-Schlüssel oder -Wert erstellen, der mit dem Text aws: beginnt. Dieses Tag-Präfix ist für den AWS internen Gebrauch reserviert.

  • Sie können ein Tag mit einem leeren Wert erstellen, wie z. B. phoneNumber = . Sie können keinen leeren Tag-Schlüssel erstellen.

  • Sie können nicht mehrere Werte in einem einzigen Tag angeben. Sie können jedoch eine benutzerdefinierte mehrwertige Struktur in dem einzelnen Wert erstellen. Nehmen Sie beispielsweise an, dass der Benutzer Zhang im Entwicklungsteam und dem QA-Team arbeitet. Wenn Sie das team = Engineering-Tag und dann das team = QA Tag anfügen, ändern Sie den Wert des Tags von Engineering zu QA. Stattdessen können Sie mehrere Werte in einem einzigen Tag mit einem benutzerdefinierten Trennzeichen einfügen. In diesem Beispiel könnten Sie das team = Engineering:QA-Tag Zhang anfügen.

    Anmerkung

    Um den Zugriff auf die Entwickler in diesem Beispiel mit dem team-Tag zu steuern, müssen Sie eine Richtlinie erstellen, die jede Konfiguration zulässt, die Engineering einschließlich Engineering:QA enthalten könnte. Weitere Informationen zur Verwendung von Tags in Richtlinien finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.

Anwenden und Bearbeiten von Tags

Beachten Sie die folgenden Konventionen beim Anfügen von Tags zu IAM-Ressourcen:

  • Sie können die meisten IAM-Ressourcen markieren, jedoch keine Gruppen, angenommene Rollen, Zugriffsberichte oder hardwarebasierte MFA-Geräte.

  • Sie können den Tag-Editor nicht verwenden, um IAM-Ressourcen zu markieren. Der Tag-Editor unterstützt keine IAM-Tags. Informationen zur Verwendung des Tag-Editors mit anderen Services finden Sie unter Arbeiten mit dem Tag-Editor im AWS Resource Groups -Leitfaden.

  • Um eine IAM-Ressource zu markieren, müssen Sie über spezifische Berechtigungen verfügen. Um Ressourcen zu markieren oder die Markierung zu entfernen, müssen Sie auch über die Berechtigung verfügen, Tags aufzulisten. Weitere Informationen finden Sie in der Liste der Themen für jede IAM-Ressource am Ende dieser Seite.

  • Die Anzahl und Größe der IAM-Ressourcen in einem AWS Konto sind begrenzt. Weitere Informationen finden Sie unter IAM und Kontingente AWS STS.

  • Sie können dasselbe Tag auf mehrere IAM-Ressourcen anwenden. Angenommen, Sie haben eine Abteilung namens Namen AWS_Development mit 12 Mitarbeitern. Sie können 12 Benutzer und eine Rolle mit dem Tag-Schlüssel department und dem Wert awsDevelopment (department = awsDevelopment) haben. Darüber hinaus können Sie das gleiche Tag für Ressourcen in anderen Services verwenden, die Markierungen unterstützen.

  • IAM-Entitäten (Benutzer oder Rollen) können nicht mehrere Instances desselben Tag-Schlüssels haben. Wenn Sie z. B. einen Benutzer mit dem Tag-Schlüssel-Wert-Paar costCenter = 1234 haben, können Sie das Tag-Schlüssel-Wert-Paar costCenter = 5678 anfügen. IAM aktualisiert den Wert des costCenter-Tag auf 5678.

  • Um ein Tag zu bearbeiten, das einer IAM-Entität (Benutzer oder Rolle) angefügt ist, fügen Sie ein Tag mit einem neuen Wert an, um das vorhandene Tag zu überschreiben. Angenommen, Sie haben einen Benutzer mit dem Tag-Schlüsselwertpaar department = Engineering. Wenn Sie den Benutzer in die QA-Abteilung verschieben möchten, dann können Sie das department = QA-Tag-Schlüsselwertpaar an den Benutzer anfügen. Dadurch wird der Engineering-Wert des department-Tag-Schlüssels mit dem QA-Wert ersetzt.

Themen