IAM:將特定標籤新增至具有特定標籤的使用者 - AWS Identity and Access Management

IAM:將特定標籤新增至具有特定標籤的使用者

此範例會示範如何建立 IAM 政策,允許對 IAM 使用者新增具有標籤值 MarketingDevelopmentQualityAssurance 的標籤索引鍵 Department。該使用者必須已包含標籤鍵值對 JobFunction = manager。您可以使用此政策要求經理僅隸屬於下列三個部門之一。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策編輯政策中的指示進行操作。

ListTagsForAllUsers 陳述式可讓您檢視帳戶中的所有使用者。

TagManagerWithSpecificDepartment 陳述式中的第一個條件是使用 StringEquals 條件運算子。如果條件的兩個部分都傳回 true,該條件就會傳回 true。即將標記的使用者必須已經擁有 JobFunction=Manager 標籤。該請求必須包含 Department 標籤索引鍵,以及其中一個列出的標籤值。

第二個條件會使用 ForAllValues:StringEquals 條件運算子。如果請求中的所有標籤索引鍵與政策中的索引鍵相符合,條件會傳回 true。這表示請求中的唯一標籤索引鍵一定是 Department。如需使用 ForAllValues 的詳細資訊,請參閱 建立具有多個索引鍵或值的條件

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListTagsForAllUsers", "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "TagManagerWithSpecificDepartment", "Effect": "Allow", "Action": "iam:TagUser", "Resource": "*", "Condition": {"StringEquals": { "iam:ResourceTag/JobFunction": "Manager", "aws:RequestTag/Department": [ "Marketing", "Development", "QualityAssurance" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "Department"} } } ] }