本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

授予对资源管理器视图的访问权限以进行搜索

您必须先授予对 AWS 资源探索器 视图的访问权限，然后才能使用新视图进行搜索。为此，请对需要使用视图进行搜索的 AWS Identity and Access Management（IAM）主体使用基于身份的权限策略。

要提供访问权限，请为您的用户、组或角色添加权限：

您可以使用以下方法之一：

使用基于标签的授权来控制对视图的访问权限

如果您选择使用仅返回包含特定资源的结果的筛选条件创建多个视图，则可能还需要将这些视图的访问权限仅限制给需要查看这些资源的主体。您可以使用基于属性的访问控制（ABAC）策略为账户中的视图提供此类安全保护。ABAC 使用的属性是附加到尝试在 AWS 中执行操作的主体和他们尝试访问的资源的标签。

ABAC 使用附加到主体的标准 IAM 权限策略。这些策略使用策略声明中的 Condition 元素，仅当附加到请求主体的标签和附加到受影响资源的标签都符合策略要求时才允许访问。

例如，您可以为支持公司生产应用程序的所有 AWS 资源添加标签 "Environment" = "Production"。为确保只有有权访问生产环境的主体才能看到这些资源，请创建一个使用将该标签用作筛选条件的资源管理器视图。然后，要将视图的访问权限仅限制给相应的主体，您可以使用条件类似于以下示例元素的策略来授予权限。

{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}

前面的示例中的该 Condition 规定，只有当附加到进行请求的主体的 Environment 标签与附加到请求中指定的资源的 Environment 标签相匹配时，才允许该请求。如果这两个标签不完全匹配，或者缺少任何一个标签，资源管理器都会拒绝该请求。

有关如何成功实施 ABAC 策略的更多信息，请参阅《IAM 用户指南》中的下列主题：

准备好必要的 ABAC 基础设施后，您可以使用开始使用标签来控制谁可以使用您账户中的资源管理器视图进行搜索。有关说明该原则的示例策略，请参阅下面的示例权限策略：