使用标签访问“资源组”的IAM策略失败。

Question

【以下的问题经过翻译处理】 你好，

我正在尝试给IAM用户分配标记资源的访问权限。

我已经用“cs-namespace”：“test1”标记了一些资源，并创建了一个带有相同键值对的“资源组”。

列出了可访问的资源，但是当我的IAM用户尝试访问标记的“资源组”时，它会给我一个“Forbidden”。

有人能建议我漏掉了什么吗？

```
{
    “Version”：“2012-10-17”，
    “Statement”：[
        {
            “Sid”：“ResourceGroupList”，
            “Effect”：“Allow”，
            “Action”：[
                “resource-groups：ListGroupResources”，
                “resource-groups：ListGroups”，
                “resource-groups：GetGroupQuery”，
                “resource-groups：GetTags”
            ]，
            “Resource”：“*”
        }，
        {
            “Sid”：“ResourceGroupView”，
            “Effect”：“Allow”，
            “Action”：[
                “resource-groups：GetGroup”，
                “resource-groups：SearchResources”
            ]，
            “Resource”：“*”，
            “Condition”:{
                “StringEqualsIgnoreCase”:{
                    “aws：ResourceTag / cs-namespace”：“test1”
                }
            }
        }
    ]
}

```

Answer

【以下的回答经过翻译处理】 你好，若您添加了 "tag:GetResources"，则资源组将会正常显示，不会出现任何错误。

以下是完整的策略内容：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ResourceGroupList",
            "Effect": "Allow",
            "Action": [
                "resource-groups:ListGroupResources",
                "resource-groups:ListGroups",
                "resource-groups:GetGroupQuery",
                "resource-groups:GetTags",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "ResourceGroupView",
            "Effect": "Allow",
            "Action": [
                "resource-groups:GetGroup",
                "resource-groups:SearchResources"
            ],
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/cs-namespace": "test1"
                }
            }
        }
    ]
}

希望能为您提供帮助！

-randy

使用标签访问“资源组”的IAM策略失败。

相关内容