使用标签管理对采购订单的访问权限 - Amazon 账单
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用标签管理对采购订单的访问权限

您可以使用基于属性的访问权限控制(ABAC)来管理对采购订单的访问权限。创建采购订单时,您可以使用键值对进行标记。然后,您可以创建 IAM policy 并指定标签。例如,如果您添加 project 键并将其值分配为 test,则 IAM policy 可以明确允许或拒绝访问任何带有此标签的采购订单。

要将标签添加到新采购订单或更新现有标签,请参阅 添加采购订单编辑采购订单

例 示例:使用标签以允许访问

以下策略允许 IAM 实体添加、修改或标记包含 project 键且值为 test 的采购订单。

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "purchase-orders:AddPurchaseOrder",
            "purchase-orders:TagResource",
            "purchase-orders:ModifyPurchaseOrders"
        ],
        "Resource": "arn:aws:purchase-orders::*:purchase-order/*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/project": "test"
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": "project"
            }
        }
    }]
}
例 示例:使用标签以拒绝访问

以下策略拒绝 IAM 实体对包含 project 键且值为 test 的采购订单完成任何采购订单操作。

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Deny",
        "Action": "purchase-orders:*",
        "Resource": "arn:aws:purchase-orders::*:purchase-order/*",
        "Condition": {
            "StringEquals": {
                "aws:ResourceTag/Project": "test"
            }
        }
    }]
}

有关更多信息,请参阅 IAM 用户指南中的以下主题: