# 将标签与 S3 目录存储桶结合使用
<a name="directory-buckets-tagging"></a>

AWS 标签是保存有关资源的元数据的键值对，在本例中为 Amazon S3 目录存储桶。您可以在创建 S3 目录存储桶时为其添加标签，也可以管理现有目录存储桶上的标签。有关标签的一般信息，请参阅[添加标签以进行成本分配或基于属性的访问权限控制（ABAC）](tagging.md)。

**注意**  
在超过标准 S3 API 请求速率的目录存储桶上使用标签无需额外付费。有关更多信息，请参阅 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。

## 将标签与目录存储桶结合使用的常用方法
<a name="common-ways-to-use-tags-directory-bucket"></a>

使用 S3 目录存储桶上的标签来执行以下操作：

1. **成本分配**：在 AWS 账单与成本管理中按存储桶标签跟踪存储成本。有关更多信息，请参阅 [Using tags for cost allocation](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-cost-allocation)。

1. **基于属性的访问权限控制（ABAC）**：根据标签扩展访问权限并授予对 S3 目录存储桶的访问权限。有关更多信息，请参阅 [Using tags for ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac)。

**注意**  
您可以将相同的标签同时用于成本分配和访问权限控制。

### 适用于 S3 目录存储桶的 ABAC
<a name="abac-for-directory-buckets"></a>

Amazon S3 目录存储桶支持使用标签进行基于属性的访问权限控制（ABAC）。在您的 AWS 组织、IAM 和 S3 目录存储桶策略中使用基于标签的条件键。对于企业，Amazon S3 中的 ABAC 支持跨多个 AWS 账户进行授权。

在 IAM 策略中，可以使用以下[全局条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys)，根据存储桶的标签来控制对 S3 目录存储桶的访问权限：
+ `aws:ResourceTag/key-name`
  + 使用此键可将您在策略中指定的标签键/值对与附加到资源的键/值对进行比较。例如，您可能会要求只有在资源具有附加的标签键 `Dept` 和值 `Marketing` 时才允许访问该资源。有关更多信息，请参阅[控制对 AWS 资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources)。
+ `aws:RequestTag/key-name`
  + 使用此键可将请求中传递的标签键/值对与您在策略中指定的标签对进行比较。例如，您可以检查请求是否包含标签键 `Dept` 并具有 `Accounting` 值。有关更多信息，请参阅[在 AWS 请求期间控制访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests)。您可以使用此条件键来限制可以在 `TagResource` 和 `CreateBucket` API 操作期间传递哪些标签键值对。
+ `aws:TagKeys`
  + 使用此键可将请求中的标签键与您在策略中指定的键进行比较。我们建议当使用策略来通过标签控制访问时，请使用 `aws:TagKeys` 条件键来定义允许的标签键。有关示例策略和更多信息，请参阅[根据标签键控制访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys)。您可以使用标签创建 S3 目录存储桶。要在 `CreateBucket` API 操作期间支持添加标签，您必须创建同时包含 `s3express:TagResource` 和 `s3express:CreateBucket` 操作的策略。然后，您可以使用 `aws:TagKeys` 条件键来强制在 `CreateBucket` 请求中使用特定的标签。
+ `s3express:BucketTag/tag-key`
  + 使用此条件键，可使用标签授予对目录存储桶中特定数据的权限。使用接入点访问目录存储桶时，在针对接入点以及目录存储桶进行授权时，此条件键均会引用目录存储桶上的标签，而 `aws:ResourceTag/tag-key` 将仅引用它获得授权的资源的标签。

### 目录存储桶的 ABAC 策略示例
<a name="example-directory-buckets-abac-policies"></a>

请参阅以下适用于 Amazon S3 目录存储桶的 ABAC 策略示例。

#### 1.1 - 用于创建或修改具有特定标签的存储桶的 IAM 策略
<a name="example-user-policy-request-tag"></a>

在此 IAM 策略中，具有此策略的用户或角色只有在存储桶创建请求中使用标签键 `project` 和标签值 `Trinity` 来为存储桶添加标签时，才会创建 S3 目录存储桶。他们还可以在现有 S3 目录存储桶上添加或修改标签，前提是 `TagResource` 请求包含标签键值对 `project:Trinity`。此策略不授予对存储桶或其对象的读取、写入或删除权限。

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "CreateBucketWithTags",
      "Effect": "Allow",
      "Action": [
        "s3express:CreateBucket",
        "s3express:TagResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/project": [
            "Trinity"
          ]
        }
      }
    }
  ]
}
```

#### 1.2 - 使用标签限制对存储桶的操作的存储桶策略
<a name="example-user-policy-resource-tag"></a>

在此存储桶策略中，IAM 主体（用户和角色）只有在存储桶的 `project` 标签的值与主体的 `project` 标签的值匹配时，才会使用 `CreateSession` 操作对存储桶执行操作。

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowObjectOperations",
      "Effect": "Allow",
      "Principal": {
        "AWS": "111122223333"
      },
      "Action": "s3express:CreateSession",
      "Resource": "arn:aws::s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        }
      }
    }
  ]
}
```

#### 1.3 - 修改现有资源上的标签以维护标签治理的 IAM 策略
<a name="example-user-policy-tag-keys"></a>

在此 IAM 策略中，IAM 主体（用户或角色）只有在存储桶的 `project` 标签的值与主体的 `project` 标签的值匹配时，才会修改存储桶上的标签。这些目录存储桶只允许使用在 `aws:TagKeys` 条件键中指定的四个标签 `project`、`environment`、`owner` 和 `cost-center`。这有助于强制执行标签治理，防止未经授权修改标签，并使标签架构跨存储桶保持一致。

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "EnforceTaggingRulesOnModification",
      "Effect": "Allow",
      "Action": [
        "s3express:TagResource"
      ],
      "Resource": "arn:aws::s3express:us-west-2:111122223333:bucket/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/project": "${aws:PrincipalTag/project}"
        },
        "ForAllValues:StringEquals": {
          "aws:TagKeys": [
            "project",
            "environment",
            "owner",
            "cost-center"
          ]
        }
      }
    }
  ]
}
```

#### 1.4 - 使用 s3express:BucketTag 条件键
<a name="example-policy-bucket-tag"></a>

在此 IAM 策略中，条件语句仅在存储桶具有标签键 `Environment` 和标签值 `Production` 时，才支持访问存储桶的数据。

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToSpecificAccessPoint",
      "Effect": "Allow",
      "Action": "*",
      "Resource": "arn:aws::s3express:us-west-2:111122223333:accesspoint/*",
      "Condition": {
        "StringEquals": {
          "s3express:BucketTag/Environment": "Production"
        }
      }
    }
  ]
}
```

## 管理目录存储桶的标签
<a name="working-with-tags"></a>

您可以使用 Amazon S3 控制台、AWS 命令行界面（CLI）、AWS SDK 或以下 S3 API 为 S3 目录存储桶添加或管理标签：[TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)、[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) 和 [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)。有关更多信息，请参阅：

**Topics**
+ [将标签与目录存储桶结合使用的常用方法](#common-ways-to-use-tags-directory-bucket)
+ [管理目录存储桶的标签](#working-with-tags)
+ [创建带有标签的目录存储桶](directory-bucket-create-tag.md)
+ [向目录存储桶添加标签](directory-bucket-tag-add.md)
+ [查看目录存储桶标签](directory-bucket-tag-view.md)
+ [从目录存储桶删除标签](directory-bucket-tag-delete.md)