IAM: Hinzufügen eines bestimmten Tags zu einem Benutzer mit einem bestimmten Tag - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM: Hinzufügen eines bestimmten Tags zu einem Benutzer mit einem bestimmten Tag

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die das Hinzufügen des Tag-Schlüssels Department mit den Tag-Werten Marketing, Development oder QualityAssurance zu einem IAM-Benutzer erlaubt. Dieser Benutzer muss bereits das Tag-Schlüssel-Wert-Paar JobFunction = manager enthalten. Mit dieser Richtlinie können Sie festlegen, dass ein Manager nur zu einer von drei Abteilungen gehören kann. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. Um diese Richtlinie zu verwenden, ersetzen Sie den kursiv gedruckten Platzhaltertext in der Beispielrichtlinie durch Ihre eigenen Informationen. Befolgen Sie dann die Anweisungen unter Erstellen einer Richtlinie oder Bearbeiten einer Richtlinie.

Mit der ListTagsForAllUsers-Anweisung kann die Anzeige von Tags für alle Benutzer in Ihrem Konto erlaubt werden.

Die erste Bedingung in der TagManagerWithSpecificDepartment-Anweisung verwendet den StringEquals-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn beide Teile der Bedingung erfüllt sind. Der zu markierende Benutzer muss bereits über das JobFunction=Manager-Tag verfügen. Die Anforderung muss den Department-Tag-Schlüssel mit einem der aufgelisteten Tag-Werte aufweisen.

Die zweite Bedingung verwendet den ForAllValues:StringEquals-Bedingungsoperator. Die Bedingung gibt "true" zurück, wenn alle Tag-Schlüssel in der Anforderung mit dem Schlüssel in der Richtlinie übereinstimmen. Das bedeutet, dass der einzige Tag-Schlüssel in der Anforderung Department sein muss. Weitere Informationen zur Verwendung von ForAllValues finden Sie unter Mehrwertige Kontextschlüssel.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}