使用標籤控制對 Macie 資源的存取

開始標記 Amazon Macie 資源後，您可以在 AWS Identity and Access Management （IAM） 政策中定義以標籤為基礎的資源層級許可。透過以此方式使用標籤，您可以實作精細控制 中哪些使用者和角色 AWS 帳戶 具有建立和標記 Macie 資源的許可，以及哪些使用者和角色具有更廣泛地新增、編輯和移除標籤的許可。若要根據標籤控制存取，您可以在 IAM政策的條件元素中使用 Macie 的標籤相關條件金鑰。

例如，如果資源的Owner標籤指定其使用者名稱，您可以建立政策，讓使用者可以完整存取所有 Macie 資源：

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "macie2:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

如果您定義標籤型、資源層級許可，則許可會立即生效。這表示您的資源在建立後立即更加安全。這也表示您可以快速開始強制執行新資源的標籤使用。您也可以使用資源層級許可，以控制哪些標籤金鑰和值可以與新的和現有的資源相關聯。如需詳細資訊，請參閱 IAM 使用者指南 中的使用標籤控制對 AWS 資源的存取。