本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 IAM 政策中使用標籤
<a name="tags-iam"></a>

開始實作標籤後，您可以將標籤型的資源層級許可，套用至 AWS Identity and Access Management (IAM) 政策和 API 操作。這包括支援在建立資源時將標籤新增至資源的作業。透過以這種方式使用標籤，您可以對 AWS 帳戶中的哪些群組和使用者具有建立和標記資源的許可，以及哪些群組和使用者具有更廣泛建立、更新和移除標籤的許可，實作精細的控制。

例如，您可以建立政策，允許使用者完整存取所有 Amazon Personalize 資源，其中其名稱是資源`Owner`標籤中的值。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "ModifyResourceIfOwner",
         "Effect": "Allow",
         "Action": "personalize:*",
         "Resource": "*",
         "Condition": {
            "StringEqualsIgnoreCase": {
               "aws:ResourceTag/Owner": "${aws:username}"
            }
         }
      }
   ]
}
```

------

下列範例示範如何建立政策，以允許建立和刪除資料集。只有在使用者名稱為 時，才允許這些操作`johndoe`。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "personalize:CreateDataset",
                "personalize:DeleteDataset"
            ],
            "Resource": "arn:aws:personalize:*:*:dataset/*",
            "Condition": {
                "StringEquals": {"aws:username" : "johndoe"}
            }
        },
        {
            "Effect": "Allow",
            "Action": "personalize:DescribeDataset",
            "Resource": "*"
        }
    ]
}
```

------

如果您定義標籤型、資源層級許可，則許可會立即生效。這表示您的資源一旦建立就會更安全，而且您可以快速開始強制使用新資源的標籤。您也可以使用資源層級許可，以控制哪些標籤金鑰和值可以與新的和現有的資源相關聯。詳情請參閱 *AWS IAM 使用者指南*中的[使用標籤控制存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。