本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

在 IAM Identity Center ABAC中建立 的許可政策

您可以建立許可政策，根據設定的屬性值來決定誰可以存取您的 AWS 資源。當您啟用ABAC並指定屬性時， IAM Identity Center 會將已驗證使用者的屬性值傳遞至 IAM，以用於政策評估。

aws:PrincipalTag 條件索引鍵

您可以使用 aws:PrincipalTag條件索引鍵在許可集中使用存取控制屬性來建立存取控制規則。例如，在下列信任政策中，您可以將組織中的所有資源標記在各自的成本中心。您也可以使用單一許可集，授予開發人員對其成本中心資源的存取權。現在，每當開發人員使用單一登入及其成本中心屬性聯合到 帳戶時，他們只能存取其各自成本中心中的資源。當團隊為其專案新增更多開發人員和資源時，您只需使用正確的成本中心標記資源。然後在開發人員聯合到 時，在 AWS 工作階段中傳遞成本中心資訊 AWS 帳戶。因此，隨著組織將新資源和開發人員新增至成本中心，開發人員可以管理與其成本中心一致的資源，而不需要任何許可更新。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}

如需詳細資訊，請參閱 aws:PrincipalTag 和 EC2：根據使用者指南 中的相符主體和資源標籤啟動或停止執行個體。 IAM

如果政策在其條件中包含無效的屬性，則政策條件將會失敗，並拒絕存取。如需詳細資訊，請參閱當使用者嘗試使用外部身分提供者登入時，出現「發生非預期的錯誤」錯誤。