AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 AWS 服务入门。

如果我们为英文版本指南提供翻译，那么如果存在任何冲突，将以英文版本指南为准。在提供翻译时使用机器翻译。

控制访问 AWS 使用资源标签的资源

您可以使用标签以控制对支持标记的 AWS 资源的访问。您还可以标记 IAM 用户和角色以控制他们可以访问哪些内容。要了解如何标记 IAM 用户和角色，请参阅标记 IAM 用户和角色。对于创建策略，以允许具有委托人标签的 IAM 角色访问具有匹配标签的资源并测试该策略，有关教程，请参阅IAM教程: 根据标签定义访问AW资源的权限。可以使用以下部分中的信息以控制对其他 AWS 服务的访问，而无需标记 IAM 用户或角色。

在使用标签控制对 AWS 资源的访问之前，您必须了解 AWS 如何授予访问权限。AWS 由一组资源 组成。Amazon EC2 实例是一种资源。Amazon S3 存储桶是一种资源。您可以使用 AWS API、AWS CLI 或 AWS 管理控制台执行操作，例如，在 Amazon S3 中创建存储桶。在执行操作时，您将发送该操作的请求。您的请求指定操作、资源、委托人实体（用户或角色）、委托人账户 以及所需的任何请求信息。所有这些信息提供了上下文。

然后，AWS 检查是否对您（委托人实体）进行身份验证（登录）和授权（具有权限），以便对指定的资源执行指定的操作。在授权期间，AWS 检查应用于请求上下文的所有策略。大多数策略作为 JSON 文档存储在 AWS 中，并指定委托人实体的权限。有关策略类型和用法的更多信息，请参阅策略和权限 IAM。

只有在策略允许请求的每个部分时，AWS 才会授权该请求。要查看示意图和详细了解 IAM 基础设施，请参阅了解 IAM 工作。有关 IAM 如何确定是否允许请求的详细信息，请参阅策略评估逻辑。

标签可能使此过程变得复杂，因为标签可以附加到资源，也可以从请求 传入支持标签的服务。要基于标签控制访问，您需要在策略的条件元素中提供标签信息。了解 AWS 服务支持使用标签控制访问,请参阅 AWS 与 IAM 并寻找 是 在 基于标签的授权 列。选择服务名称以查看该服务的授权和访问控制文档。

然后，您可以创建一个 IAM 策略，以根据资源的标签允许或拒绝访问资源。在该策略中，您可以使用标签条件键以控制对任何以下内容的访问：

您可以通过可视化方式创建 IAM 策略，也可以使用 JSON，或通过导入现有托管策略来创建。有关详细信息，请参阅 创建 IAM 政策。

控制访问 AWS 资源

您可以使用 IAM 策略中的条件根据 AWS 资源上的标签控制对该资源的访问。你可以使用全球 aws:ResourceTag/tag-key 条件键,或服务特定键,例如 iam:ResourceTag/tag-key。一些服务,例如 IAM,仅支持此密钥的服务特定版本,不支持全局版本。

此示例显示您可以如何创建策略以允许启动或停止 Amazon EC2 实例。只有在实例标签 Owner 具有该用户的用户名值时，才允许执行这些操作。此策略还授予在控制台上完成此操作所需的必要权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringEquals": {"ec2:ResourceTag/Owner": "${aws:username}"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        }
    ]
}

您可以将此策略附加到您账户中的 IAM 用户。如果一个用户 richard-roe 尝试启动 Amazon EC2 实例,必须标记该实例 Owner=richard-roe 或 owner=richard-roe。否则,他将被拒绝访问。标签键 Owner 同时匹配 owner 和 Owner，因为条件键名称不区分大小写。有关更多信息，请参阅 IAM 公共关系策略要素: Condition。)

在下列期间控制访问 AWS 请求

您可以在 IAM 策略中使用条件以控制可以在标记 AWS 资源的请求中传递哪些标签键值对。

此示例显示您可以如何创建策略以允许使用 Amazon EC2 CreateTags 操作将标签附加到实例上。只有在标签包含 environment 键和 preprod 或 production 值时，才能附加标签。如果需要，您可以将 ForAllValues 修饰符与 aws:TagKeys 条件键一起使用，以指示仅允许在请求中使用 environment 键。这将阻止用户包括其他键，例如意外使用 Environment 而不是 environment。

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "ec2:CreateTags",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/environment": [
                    "preprod",
                    "production"
                ]
            },
            "ForAllValues:StringEquals": {"aws:TagKeys": "environment"}
        }
    }
}

基于标签密钥控制访问

您可以在 IAM 策略中使用条件来控制是否可以在资源或请求中使用特定标签键。

作为最佳实践,当您使用策略来控制使用标签的访问时,您应该使用 aws:TagKeys 条件键。 AWS 支持标记的服务可能允许您创建多个仅因案例而异的标记密钥名称,例如标记 Amazon EC2 实例 stack=production 和 Stack=test。在政策条件中,关键名称不区分大小写。这意味着，如果您在策略的条件元素中指定 "ec2:ResourceTag/TagKey1": "Value1"，则条件将匹配名为 TagKey1 或 tagkey1 的资源标签键，但不会同时匹配两者。要防止只有键的大小写形式不同的重复标签，请使用 aws:TagKeys 条件来定义用户可以应用的标签键。

此示例显示您可以如何创建策略 允许创建和标记 Secrets Manager 密钥，但只能使用标签键 environment 或 cost-center。

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "secretsmanager:CreateSecret",
            "secretsmanager:TagResource"
        ],
        "Resource": "*",
        "Condition": {
            "ForAllValues:StringEquals": {
                "aws:TagKeys": [
                    "environment",
                    "cost-center"
                ]
            }
        }
    }
}