使用标签控制 Lightsail 资源访问
在 Amazon Lightsail 中,您可以使用标签控制对资源、请求以及标签键的访问。在本指南中,您将了解如何创建一个用于指定创建或删除 Lightsail 资源所需的键值标签的 AWS Identity and Access Management(IAM)策略,以及如何将该策略附加到需要提出这些请求的用户或组。
注意
要了解有关 Lightsail 中的标签、可添加标签的资源以及限制的更多信息,请参阅标签。
步骤 1:创建 IAM policy
首先,在 IAM 控制台中创建以下 IAM policy。有关创建 IAM policy 的更多信息,请参阅 IAM 文档中的创建 IAM policy。
以下策略会限制用户创建新 Lightsail 资源,除非通过 create 请求来定义 allow 键标签和 true 值。该策略还会限制用户删除资源,除非他们具有 allow/true 键值标签。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lightsail:Create*", "lightsail:TagResource", "lightsail:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/allow": "true" } } }, { "Effect": "Allow", "Action": [ "lightsail:Delete*", "lightsail:TagResource", "lightsail:UntagResource" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/allow": "true" } } } ] }
以下策略会限制用户更改其键值标签不是 allow/false 的资源的标签。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "lightsail:TagResource" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:ResourceTag/allow": "false" } } } ] }
步骤 2:将策略附加到用户或组
创建 IAM policy 后,将这些策略附加到需要使用键值对创建 Lightsail 资源的用户或组。有关将 IAM 策略附加到用户或组的更多信息,请参阅 IAM 文档中的添加和删除 IAM 策略。
