使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

我已將標籤新增至 AWS 資源,但我的 IAM 政策卻無法運作。哪些 AWS 服務支援以授權為基礎的標籤?

1 分的閱讀內容
0

雖然我的資源是以正確的標籤金鑰和值進行標記,但我的 AWS Identity and Access Management (IAM) 政策並未評估資源上的標籤。

簡短說明

IAM 政策可以根據資源的標籤金鑰和值,使用全域條件金鑰 aws:ResourceTag/tag-key 來控制存取。並非所有 AWS 服務都支援標籤授權。如 AWS Lambda 函數和 Amazon Simple Queue Service (Amazon SQS) 佇列等部分 AWS 資源都可以被標記。但是,這些標籤無法在 IAM 政策中用來控制資源的存取權。如需支援標籤型授權的 AWS 服務清單,請參閱與 IAM 搭配使用的 AWS 服務

解決方法

如果 AWS 服務不支援標籤型授權,請檢查該服務的動作、資源和條件金鑰,以查看 IAM 政策中支援的資源層級權限和條件金鑰。某些 AWS 服務 (例如,管理 Amazon SQS 存取的概觀AWS Lambda 的身分型 IAM 政策) 都有包含範例 IAM 政策的文件。

您可以使用資源層級許可,將如 DeleteFunction 和 PublishVersion 等某些 Lambda 動作限制為特定 Lambda 函數。將此範例 IAM 政策連接至 IAM 使用者,即可允許這些 Lambda 函數,但僅限單一 Lambda 函數。

注意: 編輯 IAM 政策,以包括您自己的 Lambda 函數 ARN

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowActionsOnSpecificFunction",
      "Effect": "Allow",
      "Action": [
        "lambda:DeleteFunction",
        "lambda:PublishVersion"
      ],
      "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function"
    }
  ]
}

相關資訊

如何使用 IAM 身份型政策來限制對特定 IAM 角色工作階段的存取?

如何使用 PrincipalTag、ResourceTag、RequestTag 和 TagKeys 條件金鑰,為標籤型限制建立 IAM 政策?

AWS 官方
AWS 官方已更新 1 個月前