本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在建立期間標記資源的 Elastic Load Balancing API 權限
使用者若要在建立期間標記資源,他們必須具備使用資源建立動作 (如 elasticloadbalancing:CreateLoadBalancer 或 elasticloadbalancing:CreateTargetGroup) 的許可。若標籤於資源建立動作過程中指定,此 elasticloadbalancing:AddTags 動作需要額外的授權,以驗證使用者是否有許可將標籤套用到正在建立的資源。因此,使用者必須同時具備使用 elasticloadbalancing:AddTags 動作的明確許可。
在elasticloadbalancing:AddTags動作的IAM策略定義中,您可以將Condition元素與elasticloadbalancing:CreateAction條件索引鍵搭配使用,為建立資源的動作授與標記權限。
下列範例示範一個政策,允許使用者建立目標群組,並在建立期間將標籤套用至目標群組。使用者沒有標記現有資源的權限 (他們不能直接呼叫 elasticloadbalancing:AddTags 動作)。
{ "Statement": [ { "Effect": "Allow", "Action": [ "elasticloadbalancing:CreateTargetGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "elasticloadbalancing:CreateAction" : "CreateTargetGroup" } } } ] }
同樣的,下列政策允許使用者建立負載平衡器,並在建立期間套用標籤。使用者沒有標記現有資源的權限 (他們不能直接呼叫 elasticloadbalancing:AddTags 動作)。
{ "Statement": [ { "Effect": "Allow", "Action": [ "elasticloadbalancing:CreateLoadBalancer" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags" ], "Resource": "*", "Condition": { "StringEquals": { "elasticloadbalancing:CreateAction" : "CreateLoadBalancer" } } } ] }
只有在資源建立動作中套用了標籤時,才評估 elasticloadbalancing:AddTags 動作。因此,在沒有標記條件的情況下,若請求中未指定標籤,則具備資源建立許可的使用者不需要使用 elasticloadbalancing:AddTags 動作的許可。然而,若該使用者試圖建立具有標籤的資源卻未具備使用 elasticloadbalancing:AddTags 動作的許可,則該請求會失敗。
