使用标签控制 Lightsail 资源的访问权限 - Amazon Lightsail
步骤 1:创建 IAM policy步骤 2:将策略附加到用户或组

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用标签控制 Lightsail 资源的访问权限

您可以在 Amazon Lightsail 中使用标签来控制对资源的访问权限、控制对请求的访问以及对标签密钥的访问权限。在本指南中,您将学习如何创建 AWS Identity and Access Management (IAM) 策略,该策略指定创建或删除 Lightsail 资源所需的键值标签,并将该策略附加到需要提出这些请求的用户或群组。

注意

要详细了解 Lightsail 中的标签、可以标记哪些资源以及限制,请参阅标签。

步骤 1:创建 IAM policy

首先,在 IAM 控制台中创建以下 IAM policy。有关创建 IAM policy 的更多信息,请参阅 IAM 文档中的创建 IAM policy

除非在创建请求中定义了密钥标签allow和值true,否则以下策略限制用户创建新的 Lightsail 资源。该策略还会限制用户删除资源,除非他们具有 allow/true 键值标签。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lightsail:Create*",
                "lightsail:TagResource",
                "lightsail:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/allow": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "lightsail:Delete*",
                "lightsail:TagResource",
                "lightsail:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/allow": "true"
                }
            }
        }
    ]
}

以下策略会限制用户更改其键值标签不是 allow/false 的资源的标签。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "lightsail:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:ResourceTag/allow": "false"
                }
            }
        }
    ]
}

步骤 2:将策略附加到用户或组

创建 IAM 策略后,将这些策略附加到需要使用键值对创建 Lightsail 资源的用户或组。有关将 IAM 策略附加到用户或组的更多信息,请参阅 IAM 文档中的添加和删除 IAM 策略