Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Markieren virtueller MFA-Geräte

Sie können IAM-Tag-Schlüsselwertpaare verwenden, um einem virtuellen MFA-Gerät benutzerdefinierte Attribute hinzuzufügen. Um beispielsweise Kostenstelleninformationen für das virtuelle MFA-Gerät eines Benutzers hinzuzufügen, können Sie den Tag-Schlüssel CostCenter und den Tag-Wert 1234 hinzufügen. Sie können Tags verwenden, um den Zugriff auf Ressourcen zu steuern oder zu kontrollieren, welche Tags mit einem Objekt verknüpft werden können. Weitere Informationen über die Verwendung von Tags zur Zugriffskontrolle finden Sie unter Steuerung des Zugriffs auf und für IAM-Benutzer und IAM-Rollen mithilfe von Tags.

Sie können Tags auch verwenden AWS STS , um benutzerdefinierte Attribute hinzuzufügen, wenn Sie eine Rolle übernehmen oder einen Benutzer zusammenschließen. Weitere Informationen finden Sie unter Sitzungs-Tags übergeben AWS STS.

Erforderliche Berechtigungen für das Markieren von virtuellen MFA-Geräten

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (Benutzer oder Rolle) virtuelle MFA-Geräte markieren kann. Sie können eine oder alle der folgenden IAM-Tag-Aktionen in einer IAM-Richtlinien angeben:

So gestatten Sie einer IAM-Entität (Benutzer oder Rolle), ein Tag für ein virtuelles MFA-Gerät hinzuzufügen, aufzulisten oder zu entfernen

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die Tags verwalten soll. Verwenden Sie Ihre Kontonummer und ersetzen Sie <MFATokenID> durch den Namen des virtuellen MFA-Geräts, dessen Tags verwaltet werden müssen. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListMFADeviceTags",
        "iam:TagMFADevice",
        "iam:UntagMFADevice"
    ],
    "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>"
}

So gestatten Sie einer IAM-Entität (Benutzer oder Rolle), einem bestimmten virtuellen MFA-Geräts ein Tag hinzuzufügen

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die Tags für eine bestimmtes virtuelles MFA-Geräts hinzufügen, jedoch nicht entfernen soll.

Um diese Richtlinie zu verwenden, ersetzen Sie <MFATokenID> durch den Namen des virtuellen MFA-Geräts, dessen Tags verwaltet werden müssen. Informationen zum Erstellen einer Richtlinie mit diesem Beispiel-JSON-Richtliniendokument finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListMFADeviceTags",
        "iam:TagMFADevice"
    ],
    "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>"
}

Alternativ können Sie eine AWS verwaltete Richtlinie wie IAM verwenden, FullAccess um vollen Zugriff auf IAM zu gewähren.

Verwaltung von Tags auf virtuellen MFA-Geräten (AWS CLI oder AWS API)

Sie können Tags für ein virtuelles MFA-Gerät auflisten, anfügen oder entfernen. Sie können die AWS CLI oder die AWS API verwenden, um Tags für ein virtuelles MFA-Gerät zu verwalten.

Informationen zum Anhängen von Tags an Ressourcen für andere AWS Dienste finden Sie in der Dokumentation zu diesen Diensten.

Weitere Informationen über die Verwendung von Tags, um präzisere Berechtigungen mit IAM-Berechtigungsrichtlinien festzulegen, finden Sie unter IAM-Richtlinienelemente: Variablen und Tags.