AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

IAM:将特定标签添加到具有特定标签的用户

此示例显示您可以如何创建策略 允许将标签键 Department 以及标签值 MarketingDevelopmentQualityAssurance 添加到 IAM 用户。该用户必须已包含标签键/值对 JobFunction = manager。您可以使用此策略来要求一个经理仅属于三个部门之一。此策略还授予在控制台上完成此操作所需的必要权限。要使用此策略,请将示例策略中的红色斜体文本替换为您自己的信息。

ListTagsForAllUsers 语句允许对您账户中的所有用户查看标签。

TagManagerWithSpecificDepartment 语句中的第一个条件使用 StringEquals 条件运算符。如果条件的两个部分都为 true,则此条件返回 true。要标记的用户必须已具有 JobFunction=Manager 标签。请求必须包括 Department 标签键以及其中一个列出的标签值。

第二个条件使用 ForAllValues:StringEquals 条件运算符。如果请求中的标签键与策略中的键匹配,则条件返回 true。这意味着,请求中的唯一标签键必须为 Department。有关使用 ForAllValues 的更多信息,请参阅创建测试多个键值的条件 (集合运算)

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListTagsForAllUsers", "Effect": "Allow", "Action": [ "iam:ListUserTags", "iam:ListUsers" ], "Resource": "*" }, { "Sid": "TagManagerWithSpecificDepartment", "Effect": "Allow", "Action": "iam:TagUser", "Resource": "*", "Condition": {"StringEquals": { "iam:ResourceTag/JobFunction": "Manager", "aws:RequestTag/Department": [ "Marketing", "Development", "QualityAssurance" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "Department"} } } ] }