本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 资源：通过作业定义和作业队列上的资源标签限制作业提交
<a name="iam-example-restrict-job-submission-by-tags"></a>

只有在作业队列都有标签`Environment=dev`且作业定义都有标签时，才使用以下策略提交作业`Project=calc`。此策略演示了如何在提交作业期间使用资源标签来控制对 Amazon Batch 资源的访问权限。

**重要**  
使用评估作业定义资源标签的策略提交作业时，必须使用作业定义修订格式（`job-definition:revision`）提交作业。如果您在未指定修订版本的情况下提交作业，则不会评估作业定义标签，这可能会绕过您预期的访问控制。资源 ARN 中的`*:*`模式强制要求提交内容必须包含修订版，从而确保标签策略始终得到有效应用。

此策略使用两个单独的语句，因为它对不同的资源类型应用不同的标签条件。在限定作业提交的资源级访问时，必须同时提供作业队列和作业定义资源类型。

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "batch:SubmitJob",
      "Resource": "arn:aws:batch:*:*:job-queue/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "dev"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "batch:SubmitJob",
      "Resource": "arn:aws:batch:*:*:job-definition/*:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "calc"
        }
      }
    }
  ]
}
```