IAM:將特定標籤新增至具有特定標籤的使用者 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM:將特定標籤新增至具有特定標籤的使用者

此範例會示範如何建立身分型政策,允許對 IAM 使用者新增具有標籤值 MarketingDevelopmentQualityAssurance 的標籤索引鍵 Department。該使用者必須已包含標籤鍵值對 JobFunction = manager。您可以使用此政策要求經理僅隸屬於下列三個部門之一。此政策定義了程式設計和主控台存取的許可。若要使用此政策,請將範例政策中的斜體預留位置文字取代為您自己的資訊。然後,遵循建立政策編輯政策中的指示進行操作。

ListTagsForAllUsers 陳述式可讓您檢視帳戶中的所有使用者。

TagManagerWithSpecificDepartment 陳述式中的第一個條件是使用 StringEquals 條件運算子。如果條件的兩個部分都傳回 true,該條件就會傳回 true。即將標記的使用者必須已經擁有 JobFunction=Manager 標籤。該請求必須包含 Department 標籤鍵,以及其中一個列出的標籤值。

第二個條件會使用 ForAllValues:StringEquals 條件運算子。如果請求中的所有標籤鍵與政策中的鍵相符合,條件會傳回 true。這表示請求中的唯一標籤鍵一定是 Department。如需使用 ForAllValues 的詳細資訊,請參閱 多值內容索引鍵

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}