IAM:将特定标签添加到具有特定标签的用户 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM:将特定标签添加到具有特定标签的用户

此示例说明了如何创建基于身份的策略以允许将带有标签值 MarketingDevelopmentQualityAssurance 的标签键 Department 添加到 IAM 用户。该用户必须已包含标签键值对 JobFunction = manager。您可以使用此策略来要求一个经理仅属于三个部门之一。此策略定义了程序访问和控制台访问的权限。要使用此策略,请将示例策略中的斜体占位符文本替换为您自己的信息。然后,按照创建策略编辑策略中的说明操作。

ListTagsForAllUsers 语句允许对您账户中的所有用户查看标签。

TagManagerWithSpecificDepartment 语句中的第一个条件使用 StringEquals 条件运算符。如果条件的两个部分都为 true,则此条件返回 true。要标记的用户必须已具有 JobFunction=Manager 标签。请求必须包括 Department 标签键以及其中一个列出的标签值。

第二个条件使用 ForAllValues:StringEquals 条件运算符。如果请求中的标签键与策略中的键匹配,则条件返回 true。这意味着,请求中的唯一标签键必须为 Department。有关使用 ForAllValues 的更多信息,请参阅多值上下文键

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/JobFunction": "Manager",
                "aws:RequestTag/Department": [
                    "Marketing",
                    "Development",
                    "QualityAssurance"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "Department"}
            }
        }
    ]
}