IAM：新增特定標籤與特定值

此範例會示範如何建立身分型政策，允許對任何 IAM 使用者或角色僅新增標籤索引鍵 CostCenter 以及標籤值 A-123 或標籤值 B-456。您可以使用這個政策，限制標記至特定標籤鍵與一組標籤值。此政策定義了程式設計和主控台存取的許可。若要使用此政策，請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後，遵循建立政策或編輯政策中的指示進行操作。

ConsoleDisplay 陳述式可讓您檢視帳戶中的所有使用者與角色。

AddTag 陳述式中的第一個條件是使用 StringEquals 條件運算子。如果請求的 CostCenter 標籤鍵包含其中一個列出的標籤值，該條件就會傳回 true。

第二個條件會使用 ForAllValues:StringEquals 條件運算子。如果請求中的所有標籤鍵與政策中的鍵相符合，條件會傳回 true。這表示請求中的唯一標籤鍵一定是 CostCenter。如需使用 ForAllValues 的詳細資訊，請參閱 多值內容索引鍵。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConsoleDisplay",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListRoles",
                "iam:ListRoleTags",
                "iam:ListUsers",
                "iam:ListUserTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AddTag",
            "Effect": "Allow",
            "Action": [
                "iam:TagUser",
                "iam:TagRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CostCenter": [
                        "A-123",
                        "B-456"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
            }
        }
    ]
}