使用標記控制對帳號連線資源的存取 - Amazon CodeCatalyst
範例 1:允許根據要求中的標籤執行動作範例 2:允許根據資源標籤執行動作

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用標記控制對帳號連線資源的存取

標籤可以附加至資源,或將要求傳遞給支援標記的服務。策略中的資源可以有標籤,策略中的某些動作可以包含標籤。標籤條件鍵包括aws:RequestTagaws:ResourceTag條件鍵。建立 IAM 政策時,可使用標籤條件索引鍵來控制以下項目:

  • 哪些使用者可以根據連線資源已有的標籤,對連線資源執行動作。

  • 可在動作請求中傳遞的標籤。

  • 請求中是否可使用特定的標籤鍵。

下列範例示範如何在策略中為 CodeCatalyst帳號連線使用者指定標籤條件。如需條件索引鍵的詳細資訊,請參閱 IAM 中的政策條件金鑰

範例 1:允許根據要求中的標籤執行動作

下列原則會授與使用者核准帳號連線的權限。

若要這樣做,它會在請求指定名為 Project 且值為 ProjectA 的標籤時允許 AcceptConnectionTagResource 動作。( aws:RequestTag 條件索引鍵用來控制哪些標籤可在 IAM 請求中傳遞。) aws:TagKeys 條件可確保標籤索引鍵區分大小寫。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:AcceptConnection",
        "codecatalyst:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Project": "ProjectA"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": ["Project"]
        }
      }
    }
  ]
}

範例 2:允許根據資源標籤執行動作

下列策略授與使用者對帳號連線資源執行動作及取得相關資訊的權限。

為此,如果連接具有以值命名Project的標籤,則允許特定操作ProjectA。( aws:ResourceTag 條件索引鍵用來控制哪些標籤可在 IAM 請求中傳遞。)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codecatalyst:GetConnection",
        "codecatalyst:DeleteConnection",
        "codecatalyst:AssociateIamRoleToConnection",
        "codecatalyst:DisassociateIamRoleFromConnection",
        "codecatalyst:ListIamRolesForConnection",
        "codecatalyst:PutBillingAuthorization"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "ProjectA"
        }
      }
    }
  ]
}