本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 基于标签的访问控制策略
<a name="security-iam-TBAC"></a>

您可以在基于身份的策略中使用条件，根据标签控制对应用程序和作业运行的访问。

以下示例演示了将条件运算符与 EMR Serverless 条件键结合使用的不同场景和方法。这些 IAM policy 声明仅用于演示目的，并且不应用于生产环境。可通过多种方式来组合策略声明，以根据要求授予和拒绝权限。有关规划和测试 IAM 策略的更多信息，请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)。

**重要**  
一个重要注意事项是，应该明确拒绝添加标签操作的权限。这可以防止用户标记资源，从而为其授予您不打算授予的权限。如果资源的标记操作未被拒绝，用户可以修改标记并规避基于标签的策略意图。有关拒绝添加标签操作的策略示例，请参阅[拒绝添加和删除标签的访问权限](#security-iam-TBAC-deny)。

以下示例演示了基于身份的权限策略，这些策略用于控制 EMR Serverless 应用程序允许的操作。

## 仅允许带特定标签值资源上的操作
<a name="security-iam-TBAC-allow"></a>

在以下策略示例中，`StringEquals` 条件运算符尝试将 `dev` 与标签部分的值匹配。如果标签部分尚未添加到应用程序或不包含值 `dev`，则策略不会应用，并且此策略将不允许这些操作。如果没有其他策略语句允许这些操作，则用户只能使用标签中包含此值的应用程序。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "emr-serverless:GetApplication"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/department": "dev"
        }
      },
      "Sid": "AllowEMRSERVERLESSGetapplication"
    }
  ]
}
```

------

您也可以使用条件运算符指定多个标签值。例如，要允许对 `department` 标签包含值 `dev` 或 `test` 的应用程序执行操作，请将前面示例中的条件块替换为以下内容。

```
"Condition": {
        "StringEquals": {
          "emr-serverless:ResourceTag/department": ["dev", "test"]
        }
      }
```

## 创建资源时需要标签
<a name="security-iam-TBAC-require"></a>

在下面的示例中，创建应用程序时需要应用标签。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "emr-serverless:CreateApplication"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": "us-east-1"
        }
      },
      "Sid": "AllowEMRSERVERLESSCreateapplication"
    }
  ]
}
```

------

以下策略语句仅允许用户在应用程序具有 `department` 标签（可包含任何值）的情况下创建虚拟集群。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "emr-serverless:CreateApplication"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:RequestedRegion": ["us-east-1", "us-west-2"]
        }
      },
      "Sid": "AllowEMRSERVERLESSCreateapplication"
    }
  ]
}
```

------

## 拒绝添加和删除标签的访问权限
<a name="security-iam-TBAC-deny"></a>

此策略可防止用户在 EMR Serverless 应用程序上添加或删除 `department` 标签值不是 `dev` 的标签。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "emr-serverless:TagResource",
        "emr-serverless:UntagResource"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringNotEquals": {
          "aws:PrincipalTag/department": "dev"
        }
      },
      "Sid": "AllowEMRSERVERLESSTagresource"
    }
  ]
}
```

------