使用标签控制对 Macie 资源的访问权限

开始为 Amazon Macie 资源添加标签后，您可以在 AWS Identity and Access Management (IAM) 策略中定义基于标签的资源级权限。通过这种方式使用标签，您可以更全面地精细控制 AWS 账户中的哪些用户和角色有权创建 Macie 资源并为其添加标签，以及哪些用户和角色有权添加、编辑和删除标签。要基于标签控制访问，您可以在 IAM 策略的条件元素中为 Macie 使用与标签关联的条件密钥。

例如，您可以创建一个策略，允许用户拥有对所有 Macie 资源的完全访问权限，前提是该资源的 Owner 标签指定了他们的用户名：

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "macie2:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

如果您定义基于标签的资源级权限，该权限立即生效。这意味着，您的资源一经创建就会更加安全。这也意味着，您可以快速地开始将标签用于新资源。您还可以使用资源级权限来控制哪些标签键和值可以与新的和现有资源关联。有关更多信息，请参阅 IAM 用户指南中的使用标签控制对 AWS 资源的访问权限。