IAM: adicionar uma etiqueta específica a um usuário com uma etiqueta específica
Este exemplo mostra como você pode criar uma política baseada em identidade que permita adicionar a chave de tag Department com os valores de tag Marketing, Development ou QualityAssurance a um usuário do IAM. Esse usuário já deve incluir o par de chave-valor da etiqueta JobFunction = manager. Você pode usar essa política para exigir que um gerente pertença apenas a um de três departamentos. Esta política define permissões para acesso programático e do console. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.
A instrução ListTagsForAllUsers permite a visualização de tags para todos os usuários em sua conta.
A primeira condição na instrução TagManagerWithSpecificDepartment usa o operador de condição StringEquals. A condição retorna verdadeiro se ambas as partes da condição forem verdadeiras. O usuário a ser marcado já deve ter a tag JobFunction=Manager. A solicitação deve incluir a chave de tag Department com um dos valores de tag listados.
A segunda condição usa o operador de condição ForAllValues:StringEquals. A condição retornará verdadeiro se todas as chaves de tag na solicitação corresponderem à chave na política. Isso significa que a única chave de tag na solicitação deve ser Department. Para obter mais informações sobre o uso de ForAllValues, consulte Chaves de contexto de múltiplos valores.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListTagsForAllUsers", "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "TagManagerWithSpecificDepartment", "Effect": "Allow", "Action": "iam:TagUser", "Resource": "*", "Condition": {"StringEquals": { "iam:ResourceTag/JobFunction": "Manager", "aws:RequestTag/Department": [ "Marketing", "Development", "QualityAssurance" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "Department"} } } ] }
