Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
我已將標籤新增至 AWS 資源,但我的 IAM 政策卻無法運作。哪些 AWS 服務支援以授權為基礎的標籤?
雖然我的資源是以正確的標籤金鑰和值進行標記,但我的 AWS Identity and Access Management (IAM) 政策並未評估資源上的標籤。
簡短說明
IAM 政策可以根據資源的標籤金鑰和值,使用全域條件金鑰 aws:ResourceTag/tag-key 來控制存取。並非所有 AWS 服務都支援標籤授權。如 AWS Lambda 函數和 Amazon Simple Queue Service (Amazon SQS) 佇列等部分 AWS 資源都可以被標記。但是,這些標籤無法在 IAM 政策中用來控制資源的存取權。如需支援標籤型授權的 AWS 服務清單,請參閱與 IAM 搭配使用的 AWS 服務。
解決方法
如果 AWS 服務不支援標籤型授權,請檢查該服務的動作、資源和條件金鑰,以查看 IAM 政策中支援的資源層級權限和條件金鑰。某些 AWS 服務 (例如,管理 Amazon SQS 存取的概觀和 AWS Lambda 的身分型 IAM 政策) 都有包含範例 IAM 政策的文件。
您可以使用資源層級許可,將如 DeleteFunction 和 PublishVersion 等某些 Lambda 動作限制為特定 Lambda 函數。將此範例 IAM 政策連接至 IAM 使用者,即可允許這些 Lambda 函數,但僅限單一 Lambda 函數。
注意: 編輯 IAM 政策,以包括您自己的 Lambda 函數 ARN。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowActionsOnSpecificFunction", "Effect": "Allow", "Action": [ "lambda:DeleteFunction", "lambda:PublishVersion" ], "Resource": "arn:aws:lambda:us-west-2:123456789012:function:my-function" } ] }
相關資訊
如何使用 IAM 身份型政策來限制對特定 IAM 角色工作階段的存取?
如何使用 PrincipalTag、ResourceTag、RequestTag 和 TagKeys 條件金鑰,為標籤型限制建立 IAM 政策?
- 語言
- 中文 (繁體)
相關內容
- 已提問 2 年前
- 已提問 3 年前
