在 IAM 政策中使用標籤 - Amazon Personalize

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 IAM 政策中使用標籤

開始實作標籤後,您可以將標籤型的資源層級許可,套用至 AWS Identity and Access Management (IAM) 政策和 API 操作。這包括支援在建立資源時將標籤新增至資源的作業。透過以這種方式使用標籤,您可以對 AWS 帳戶中的哪些群組和使用者具有建立和標記資源的許可,以及哪些群組和使用者具有更廣泛建立、更新和移除標籤的許可,實作精細的控制。

例如,您可以建立政策,允許使用者完整存取所有 Amazon Personalize 資源,其中其名稱是資源Owner標籤中的值。

JSON
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "ModifyResourceIfOwner",
         "Effect": "Allow",
         "Action": "personalize:*",
         "Resource": "*",
         "Condition": {
            "StringEqualsIgnoreCase": {
               "aws:ResourceTag/Owner": "${aws:username}"
            }
         }
      }
   ]
}

下列範例示範如何建立政策,以允許建立和刪除資料集。只有在使用者名稱為 時,才允許這些操作johndoe

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:CreateDataset",
                "personalize:DeleteDataset"
            ],
            "Resource": "arn:aws:personalize:*:*:dataset/*",
            "Condition": {
                "StringEquals": {"aws:username" : "johndoe"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "personalize:DescribeDataset",
            "Resource": "*"
        }
    ]
}

如果您定義標籤型、資源層級許可,則許可會立即生效。這表示您的資源一旦建立就會更安全,而且您可以快速開始強制使用新資源的標籤。您也可以使用資源層級許可,以控制哪些標籤金鑰和值可以與新的和現有的資源相關聯。詳情請參閱 AWS IAM 使用者指南中的使用標籤控制存取權