Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Balisage des dispositifs MFA virtuels

Vous pouvez utiliser des paires clé-valeur de balise IAM pour ajouter des attributs personnalisés à un appareil MFA virtuel. Par exemple, pour ajouter des informations de centre de coûts pour l'appareil MFA virtuel d'un utilisateur, vous pouvez ajouter la clé de balise CostCenter et la valeur de balise 1234. Vous pouvez utiliser les balises pour contrôler l'accès aux ressources ou pour contrôler les balises qui peuvent être attachées à un objet. Pour en savoir plus sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès aux et pour les utilisateurs et rôles IAM à l'aide de balises.

Vous pouvez également utiliser des balises AWS STS pour ajouter des attributs personnalisés lorsque vous assumez un rôle ou que vous fédérez un utilisateur. Pour plus d’informations, consultez Transmission des balises de session AWS STS.

Autorisations requises pour le balisage des appareils MFA virtuels

Vous devez configurer les autorisations de manière à permettre à une entité IAM (utilisateur ou rôle) de baliser des appareils MFA virtuels. Vous pouvez spécifier une ou toutes les actions suivantes d'une balise IAM dans une politique IAM :

Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter, afficher la liste ou supprimer une balise pour un appareil MFA virtuel

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit gérer les balises. Utilisez votre numéro de compte et remplacez <MFATokenID> par le nom de l'dispositif MFA virtuel dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListMFADeviceTags",
        "iam:TagMFADevice",
        "iam:UntagMFADevice"
    ],
    "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>"
}

Pour autoriser une entité IAM (utilisateur ou rôle) à ajouter une balise à un dispositif MFA virtuel spécifique

Ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM qui doit ajouter, mais non pas supprimer, les balises d'un appareil MFA spécifique.

Pour utiliser cette politique, remplacez <MFATokenID> par le nom de l'dispositif MFA virtuel dont les balises doivent être gérées. Pour apprendre à créer une politique à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListMFADeviceTags",
        "iam:TagMFADevice"
    ],
    "Resource": "arn:aws:iam::<account-number>:mfa/<MFATokenID>"
}

Vous pouvez également utiliser une politique AWS gérée telle que IAM FullAccess pour fournir un accès complet à IAM.

Gestion des balises sur les appareils MFA virtuels (AWS CLI ou AWS API)

Vous pouvez afficher la liste, attacher ou supprimer des balises pour un appareil MFA virtuel. Vous pouvez utiliser l'API AWS CLI ou l' AWS API pour gérer les balises d'un appareil MFA virtuel.

Pour plus d'informations sur l'attachement de balises aux ressources d'autres AWS services, consultez la documentation de ces services.

Pour plus d'informations sur l'utilisation des balises pour définir d'autres autorisations détaillées avec des politiques d'autorisations IAM, consultez Éléments des politiques IAM : variables et balises.