标记 IAM SAML 身份提供程序 - AWS Identity and Access Management
标记 SAML 身份提供程序所需的权限管理 IAM SAML 身份提供程序的标签(控制台)管理 IAM SAML 身份提供程序(AWS CLI 或 AWS API)的标签

标记 IAM SAML 身份提供程序

您可以使用 IAM 标签键值对将自定义属性添加到 SAML 身份提供程序。例如,要识别提供商,您可以添加标签键 okta 和标签值 saml。您可以使用标签控制对资源的访问权限或控制可附加到对象的标签。要了解有关使用标签控制访问的更多信息,请参阅 使用标签控制对 IAM 用户和角色的访问以及他们进行的访问

标记 SAML 身份提供程序所需的权限

您必须配置权限以允许 IAM 实体(用户或角色)标记基于 SAML 2.0 的身份提供程序 (IdP)。您可以在 IAM policy 中指定以下一项或所有 IAM 标签操作:

  • iam:ListSAMLProviderTags

  • iam:TagSAMLProvider

  • iam:UntagSAMLProvider

要允许 IAM 实体(用户或角色)添加、列出或删除 SAML 身份提供程序的标签

将以下语句添加到需要管理标签的 IAM 实体的权限策略。使用您的帐号并将 <SAMLProviderName> 替换为需要管理其标签的 SAML 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略

{
    "Effect": "Allow",
    "Action": [
        "iam:ListSAMLProviderTags",
        "iam:TagSAMLProvider",
        "iam:UntagSAMLProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:saml-provider/<SAMLProviderName>"
}
要允许 IAM 实体(用户或角色)向特定的 SAML 身份提供程序添加标签

将以下语句添加到需要为特定 SAML 提供商添加而不是删除标签的 IAM 实体的权限策略。

注意

iam:TagSAMLProvider 操作要求您也包含 iam:ListSAMLProviderTags 操作。

要使用此策略,请将 <SAMLProviderName> 替换为需要管理其标签的 SAML 提供商的名称。要了解如何使用该示例 JSON 策略文档创建策略,请参阅 使用 JSON 编辑器创建策略

{
    "Effect": "Allow",
    "Action": [
        "iam:ListSAMLProviderTags",
        "iam:TagSAMLProvider"
    ],
    "Resource": "arn:aws:iam::<account-number>:saml-provider/<SAMLProviderName>"
}

或者,也可以使用 AWS 托管策略(如 IAMFullAccess)来提供对 IAM 的完全访问权限。

管理 IAM SAML 身份提供程序的标签(控制台)

您可以从 AWS Management Console 中管理 IAM SAML 身份提供程序的标签。

要管理 SAML 身份提供程序的标签(控制台)

  1. 登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在控制台的导航窗格中,选择 Identity providers(身份提供程序),然后选择要编辑的 SAML 身份提供程序的名称。

  3. 选择标签选项卡,然后在标签部分中,选择管理标签并完整以下操作之一:

    • 如果 SAML 身份提供程序还没有标签,请选择 Add tag(添加标签),或者添加新标签。

    • 编辑现有的标签键和值。

    • 选择 Remove tag(删除标签)可删除标签。

  4. 添加或删除标签以完成标签集。然后选择 Save changes (保存更改)

管理 IAM SAML 身份提供程序(AWS CLI 或 AWS API)的标签

您可以列出、附加或删除 IAM SAML 身份提供程序的标签。您可以使用 AWS CLI 或 AWS API 管理 IAM SAML 身份提供程序的标签。

要列出当前附加到 SAML 身份提供程序(AWS CLI 或 AWS API)的标签
要将标签附加到 SAML 身份提供程序(AWS CLI 或 AWS API)
要从 SAML 身份提供程序(AWS CLI 或 AWS API)中删除标签

有关将标签附加到其他 AWS 服务的资源的信息,请参阅这些服务的文档。

有关使用标签通过 IAM 权限策略设置更精细权限的信息,请参阅 IAM policy 元素:变量和标签