IAM: 특정 태그가 있는 사용자에게 특정 태그 추가 - AWS Identity and Access Management

IAM: 특정 태그가 있는 사용자에게 특정 태그 추가

이 예제에서는 태그 키 Department를 태그 값 Marketing, Development 또는 QualityAssurance와 함께 IAM 사용자에게 추가할 수 있는 IAM 정책을 생성할 수 있는 방법을 보여줍니다. 사용자가 이미 태그 키 값 페어 JobFunction = manager를 포함해야 합니다. 이 정책을 사용하여 관리자가 세 부서 중 하나에 속하도록 요구할 수 있습니다. 이 정책은 프로그래밍 방식 및 콘솔 액세스에 대한 권한을 정의합니다. 이 정책을 사용하려면 정책 예제의 기울임꼴 자리 표시자 텍스트를 본인의 정보로 대체하십시오. 그런 다음 정책 생성 또는 정책 편집의 지침을 따릅니다.

ListTagsForAllUsers 문을 사용하면 계정의 모든 사용자에 대한 태그를 볼 수 있습니다.

TagManagerWithSpecificDepartment 문의 첫 번째 조건에는 StringEquals 조건 연산자가 사용됩니다. 이 조건은 조건의 두 부분이 모두 true인 경우 true를 반환합니다. 태그 지정될 사용자에게 이미 JobFunction=Manager 태그가 있어야 합니다. 나열된 태그 값 중 하나가 지정된 Department 태그 키가 요청에 포함되어야 합니다.

두 번째 조건에는 ForAllValues:StringEquals 조건 연산자가 사용됩니다. 이 조건은 요청의 모든 태그 키가 정책의 키와 일치하는 경우 true를 반환합니다. 즉 Department가 요청의 유일한 태그 키여야 합니다. ForAllValues 사용에 관한 자세한 내용은 다수의 키 또는 값을 사용하는 조건 생성 섹션을 참조하세요.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListTagsForAllUsers", "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "TagManagerWithSpecificDepartment", "Effect": "Allow", "Action": "iam:TagUser", "Resource": "*", "Condition": {"StringEquals": { "iam:ResourceTag/JobFunction": "Manager", "aws:RequestTag/Department": [ "Marketing", "Development", "QualityAssurance" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "Department"} } } ] }