使用資源標籤控制對 Amazon 資ECS源的存取

當您建立IAM政策授予使用者使用 Amazon ECS 資源的權限時，您可以在政策的Condition元素中包含標籤資訊，以根據標籤控制存取。這就是所謂的基於屬性的訪問控制（）ABAC。ABAC可以更好地控制使用者可以修改、使用或刪除哪些資源。如需詳細資訊，請參閱有什麼ABAC用途 AWS？

例如：您可以建立一個政策，允許使用者刪除叢集，但如果叢集具有標籤 environment=production，則拒絕該動作。若要這樣做，您可以使用 aws:ResourceTag 條件金鑰，根據連接至資源的標籤允許或拒絕存取資源。

"StringEquals": { "aws:ResourceTag/environment": "production" }

若要了解 Amazon ECS API 動作是否支援使用aws:ResourceTag條件金鑰控制存取，請參閱 Amazon 的動作、資源和條件金鑰ECS。由於 Describe 動作不支援資源層級許可，您必須在不同的陳述式中指定它們，無需條件。

如需IAM原則範例，請參閱Amazon ECS 示例政策 。

如果您允許或拒絕使用者根據標籤存取資源，請務必考慮明確拒絕使用者將這些標籤新增至相同資源或從中移除的能力。否則，使用者可能透過修改標籤來避開您的限制，並取得資源的存取。