使用标签控制 Lightsail 资源访问 - Amazon Lightsail
步骤 1:创建 IAM policy步骤 2:将策略附加到用户或组

使用标签控制 Lightsail 资源访问

在 Amazon Lightsail 中,您可以使用标签控制对资源、请求以及标签键的访问。在本指南中,您将了解如何创建一个用于指定创建或删除 Lightsail 资源所需的键值标签的 AWS Identity and Access Management(IAM)策略,以及如何将该策略附加到需要提出这些请求的用户或组。

注意

要了解有关 Lightsail 中的标签、可添加标签的资源以及限制的更多信息,请参阅标签

步骤 1:创建 IAM policy

首先,在 IAM 控制台中创建以下 IAM policy。有关创建 IAM policy 的更多信息,请参阅 IAM 文档中的创建 IAM policy

以下策略会限制用户创建新 Lightsail 资源,除非通过 create 请求来定义 allow 键标签和 true 值。该策略还会限制用户删除资源,除非他们具有 allow/true 键值标签。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "lightsail:Create*",
                "lightsail:TagResource",
                "lightsail:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/allow": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "lightsail:Delete*",
                "lightsail:TagResource",
                "lightsail:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/allow": "true"
                }
            }
        }
    ]
}

以下策略会限制用户更改其键值标签不是 allow/false 的资源的标签。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "lightsail:TagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:ResourceTag/allow": "false"
                }
            }
        }
    ]
}

步骤 2:将策略附加到用户或组

创建 IAM policy 后,将这些策略附加到需要使用键值对创建 Lightsail 资源的用户或组。有关将 IAM 策略附加到用户或组的更多信息,请参阅 IAM 文档中的添加和删除 IAM 策略