在 IAM 政策中使用標籤 - Amazon Personalize

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 IAM 政策中使用標籤

開始實作標籤後,您可以將標籤型的資源層級許可,套用至 AWS Identity and Access Management (IAM) 政策和 API 操作。這包括支援在建立資源時將標籤新增至資源的作業。透過這種方式使用標籤,您可以對 AWS 帳戶中哪些群組和使用者有權建立和標記資源的權限,以及哪些群組和使用者有權更一般地建立、更新和移除標籤。

例如,您可以建立一個政策,讓使用者能夠完全存取所有 Amazon Personalize 資源,其中他們的名稱是資源Owner標籤中的值。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ModifyResourceIfOwner", "Effect": "Allow", "Action": "personalize:*", "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/Owner": "${aws:username}" } } } ] }

下列範例顯示如何建立允許建立和刪除資料集的原則。只有在使用者名稱為時,才允許這些作業johndoe

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "personalize:CreateDataset", "personalize:DeleteDataset" ], "Resource": "arn:aws:personalize:*:*:dataset/*", "Condition": { "StringEquals": {"aws:username" : "johndoe"} } }, { "Effect": "Allow", "Action": "personalize:DescribeDataset", "Resource": "*" } ] }

如果您定義標籤型、資源層級許可,則許可會立即生效。這表示您的資源一旦建立就會更安全,而且您可以快速開始強制使用新資源的標籤。您也可以使用資源層級許可,以控制哪些標籤金鑰和值可以與新的和現有的資源相關聯。詳情請參閱 AWS IAM 使用者指南中的使用標籤控制存取權