在 IAM 策略中使用标签 - Amazon Personalize
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 IAM 策略中使用标签

开始实施标签后,您可以向 Amazon Identity and Access Management (IAM) 策略和 API 操作应用基于标记的资源级权限。这包括支持在创建资源时为资源添加标签的操作。通过以这种方式使用标签,您可以精细控制 Amazon 账户中的哪些群组和用户有权创建和标记资源,以及哪些群组和用户有权更广泛地创建、更新和删除标签。

例如,您可以创建一个策略,允许用户只要其名称是 Amazon Personalize 资源的 Owner 标签中的值,就可以完全访问这些资源。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ModifyResourceIfOwner",
         "Effect": "Allow",
         "Action": "personalize:*",
         "Resource": "*",
         "Condition": {
            "StringEqualsIgnoreCase": {
               "aws:ResourceTag/Owner": "${aws:username}"
            }
         }
      }
   ]
}

以下示例演示如何创建允许创建和删除数据集的策略。只有在用户名为 johndoe 时,才允许执行这些操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:CreateDataset",
                "personalize:DeleteDataset"
            ],
            "Resource": "arn:aws:personalize:*:*:dataset/*",
            "Condition": {
                "StringEquals": {"aws:username" : "johndoe"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "personalize:DescribeDataset",
            "Resource": "*"
        }
    ]
}

如果您定义基于标签的资源级权限,该权限立即生效。这意味着,您的资源在创建后会更安全,而且您可以快速地开始将标签用于新资源。您还可以使用资源级权限来控制哪些标签键和值可以与新的和现有资源关联。有关更多信息,请参阅Amazon 《IAM 用户指南》中的使用标签控制访问