本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用資源標籤控制對 Amazon ECS 資源的存取 當您建立授予使用者使用 Amazon ECS 資源之許可的 IAM 政策時,您可以在政策的 `Condition` 元素中包含標籤資訊,以根據標籤控制存取。這稱為以屬性型存取控制 (ABAC)。ABAC 對於使用者可以修改、使用或刪除哪些資源提供了更佳的控制。如需詳細資訊,請參閱 [AWS的 ABAC 是什麼?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 例如:您可以建立一個政策,允許使用者刪除叢集,但如果叢集具有標籤 `environment=production`,則拒絕該動作。若要這樣做,您可以使用 `aws:ResourceTag` 條件金鑰,根據連接至資源的標籤允許或拒絕存取資源。 ``` "StringEquals": { "aws:ResourceTag/environment": "production" } ``` 若要了解 Amazon ECS API 動作是否支援使用 `aws:ResourceTag` 條件金鑰控制存取,請參閱 [Amazon ECS 的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerservice.html)。由於 `Describe` 動作不支援資源層級許可,您必須在不同的陳述式中指定它們,無需條件。 如需 IAM 政策的範例,請參閱[Amazon ECS 範例政策](iam-policies-ecs-console.md)。 如果您允許或拒絕使用者根據標籤存取資源,請務必考慮明確拒絕使用者將這些標籤新增至相同資源或從中移除的能力。否則,使用者可能透過修改標籤來避開您的限制,並取得資源的存取。