Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM: Hinzufügen eines bestimmten Tags zu einem Benutzer mit einem bestimmten Tag
Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die das Hinzufügen des Tag-Schlüssels Department
mit den Tag-Werten Marketing
, Development
oder QualityAssurance
zu einem IAM-Benutzer erlaubt. Dieser Benutzer muss bereits das Tag-Schlüssel-Wert-Paar JobFunction = manager
enthalten. Mit dieser Richtlinie können Sie festlegen, dass ein Manager nur zu einer von drei Abteilungen gehören kann. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext
in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.
Mit der ListTagsForAllUsers
-Anweisung kann die Anzeige von Tags für alle Benutzer in Ihrem Konto erlaubt werden.
Die erste Bedingung in der TagManagerWithSpecificDepartment
-Anweisung verwendet den StringEquals
-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn beide Teile der Bedingung erfüllt sind. Der zu markierende Benutzer muss bereits über das JobFunction=Manager
-Tag verfügen. Die Anforderung muss den Department
-Tag-Schlüssel mit einem der aufgelisteten Tag-Werte aufweisen.
Die zweite Bedingung verwendet den ForAllValues:StringEquals
-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn alle Tag-Schlüssel in der Anforderung mit dem Schlüssel in der Richtlinie übereinstimmen. Das bedeutet, dass der einzige Tag-Schlüssel in der Anforderung Department
sein muss. Weitere Informationen zur Verwendung von ForAllValues
finden Sie unter Mehrwertige Kontextschlüssel.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListTagsForAllUsers", "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "TagManagerWithSpecificDepartment", "Effect": "Allow", "Action": "iam:TagUser", "Resource": "*", "Condition": {"StringEquals": { "iam:ResourceTag/
JobFunction
": "Manager
", "aws:RequestTag/Department
": [ "Marketing
", "Development
", "QualityAssurance
" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "Department
"} } } ] }