1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 “aws:RequestTag/${TagKey}” IAM策略变量是在创建资源标签时使用的。例如,如果您想指定允许资源进行标记的键/值对,可以在IAM策略中使用“aws:RequestTag/${TagKey}”变量来允许/拒绝特定标记。例如,以下策略可以让您在EC2实例上应用“environment/prepod”标记:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:::instance/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/environment": [
"production"
]
}
}
}
}
“aws:RequestTag/${TagKey}”变量不会将附加到AWS资源的标记发送到S3。有关此策略变量的更多信息,请参阅以下链接: https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-requesttag
但是,您可以使用“${aws:PrincipalTag/Name}”变量将附加到IAM角色的标记发送到S3。例如,如果您有一个使用EC2实例角色的EC2实例,则可以使用适当的标记对EC2实例角色进行标记。然后,将以下策略附加到IAM角色:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/${aws:PrincipalTag/Name}/"
}
}
有关“${aws:PrincipalTag/Name}”变量的更多信息,请参阅以下链接: https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag
相关内容
- AWS 官方已更新 1 个月前
- AWS 官方已更新 1 个月前
- AWS 官方已更新 6 个月前