使用資源標籤控制對 EC2 資源的存取

當您建立授予使用者使用 EC2 資源之許可的 IAM 政策時，您可以在政策的 Condition 元素中包含標籤資訊，以根據標籤控制存取。這稱為以屬性為基礎的存取控制 (ABAC)。ABAC 對於使用者可以修改、使用或刪除哪些資源提供了更佳的控制。如需詳細資訊，請參閱 AWS的 ABAC 是什麼？

例如：您可以建立一個政策，允許使用者終止執行個體，但如果執行個體具有標籤 environment=production，則拒絕該動作。若要這樣做，您可以使用 aws:ResourceTag 條件金鑰，根據連接至資源的標籤允許或拒絕存取資源。

"StringEquals": { "aws:ResourceTag/environment": "production" }

若要了解 Amazon EC2 API 動作是否支援使用 aws:ResourceTag 條件金鑰控制存取，請參閱 Amazon EC2 的動作、資源和條件金鑰。由於 Describe 動作不支援資源層級許可，您必須在不同的陳述式中指定它們，無需條件。

如需 IAM 政策的範例，請參閱使用 AWS CLI 或 AWS SDK 的範例原則。

如果您允許或拒絕使用者根據標籤存取資源，請務必考慮明確拒絕使用者將這些標籤新增至相同資源或從中移除的能力。否則，使用者可能透過修改標籤來避開您的限制，並取得資源的存取。