Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 Amazon Web Services 服务入门。

IAM：添加具有特定值的特定标签

此示例显示您可能创建 IAM 策略的方式。仅允许将标签键 CostCenter 以及标签值 A-123 或标签值 B-456 添加到任何 IAM 用户或角色。您可以使用此策略将标记限制到一个特定的标签键或一组标签值。此策略定义用于编程访问和控制台访问的权限。要使用此策略，请将示例策略中的斜体占位符文本替换为您自己的信息。然后，按照创建策略或编辑策略中的说明操作。

ConsoleDisplay 语句允许对您账户中的所有用户和角色查看标签。

AddTag 语句中的第一个条件使用 StringEquals 条件运算符。如果请求包含 CostCenter 标签键以及其中一个列出的标签值，则条件返回 true。

第二个条件使用 ForAllValues:StringEquals 条件运算符。如果请求中的标签键与策略中的键匹配，则条件返回 true。这意味着，请求中的唯一标签键必须为 CostCenter。有关使用 ForAllValues 的更多信息，请参阅创建具有多个键或值的条件。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ConsoleDisplay",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:GetUser",
                "iam:ListRoles",
                "iam:ListRoleTags",
                "iam:ListUsers",
                "iam:ListUserTags"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AddTag",
            "Effect": "Allow",
            "Action": [
                "iam:TagUser",
                "iam:TagRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CostCenter": [
                        "A-123",
                        "B-456"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "CostCenter"}
            }
        }
    ]
}