# IAM：将特定标签添加到具有特定标签的用户
<a name="reference_policies_examples_iam-add-tag"></a>

此示例说明了如何创建基于身份的策略以允许将带有标签值 `Marketing`、`Development` 或 `QualityAssurance` 的标签键 `Department` 添加到 IAM 用户。该用户必须已包含标签键值对 `JobFunction = Manager`。您可以使用此策略来要求一个经理仅属于三个部门之一。此策略定义了程序访问和控制台访问的权限。要使用此策略，请将示例策略中的{{斜体占位符文本}}替换为您自己的信息。然后，按照[创建策略](access_policies_create.md)或[编辑策略](access_policies_manage-edit.md)中的说明操作。

`ListTagsForAllUsers` 语句允许对您账户中的所有用户查看标签。

`TagManagerWithSpecificDepartment` 语句中的第一个条件使用 `StringEquals` 条件运算符。如果条件的两个部分都为 true，则此条件返回 true。要标记的用户必须已具有 `JobFunction=Manager` 标签。请求必须包括 `Department` 标签键以及其中一个列出的标签值。

第二个条件使用 `ForAllValues:StringEquals` 条件运算符。如果请求中的标签键与策略中的键匹配，则条件返回 true。这意味着，请求中的唯一标签键必须为 `Department`。有关使用 `ForAllValues` 的更多信息，请参阅[多值上下文键的集合运算符](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListTagsForAllUsers",
            "Effect": "Allow",
            "Action": [
                "iam:ListUserTags",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Sid": "TagManagerWithSpecificDepartment",
            "Effect": "Allow",
            "Action": "iam:TagUser",
            "Resource": "*",
            "Condition": {"StringEquals": {
                "iam:ResourceTag/{{JobFunction}}": "{{Manager}}",
                "aws:RequestTag/{{Department}}": [
                    "{{Marketing}}",
                    "{{Development}}",
                    "{{QualityAssurance}}"
                    ]
                },
                "ForAllValues:StringEquals": {"aws:TagKeys": "{{Department}}"}
            }
        }
    ]
}
```

------