更新时间:2025-09-25 gmt 08:00
使用标签控制对iam用户和信任委托的访问-j9九游会登录
可以将标签附加到iam资源,或者将标签附加到请求的主体,在请求中传递标签并通过标签进行访问控制。
iam用户或信任委托可以同时是资源和主体。
例如:您可以编写一个允许具有type=employee标签的iam用户才能执行查询用户组操作的身份策略。在该示例中,iam用户可以查看账号下所有用户组,只要其具备type=employee标签。
要实现基于标签的访问控制,您需要在身份策略的条件元素中提供标签信息。在创建iam身份策略时,您可以使用iam标签和关联的标签条件键控制对以下内容的访问:
- 资源:根据标签控制对用户或信任委托资源的访问。请使用g:resourcetag/
条件键指定必须将哪个标签键值对附加到资源。 - 请求:仅当用户在调用api时传入了标签(例如为资源添加标签的api,创建资源同时支持传入标签的api等),请求中会携带该属性,用于控制仅允许用户创建哪些标签。请使用g:requesttag/
条件键来指定可在iam用户或委托中添加、更改、删除的标签。 - 主体:根据附加到发出请求的主体(当前支持iam用户和信任委托)的标签,控制允许该主体执行哪些操作。请使用g:principaltag/
条件键指定具备条件键的主体的访问控制。 - 授权过程:使用g:tagkeys条件键来控制是否可以在请求中使用特定的标签键。用户在调用api时传入了标签(例如为资源添加标签的api,创建资源同时支持传入标签的api等),请求中会携带该属性,即所有标签的key组成的列表。
控制iam主体的访问
您可以根据附加到主体身上的标签来控制允许该人员执行哪些操作。
此示例表示如何创建允许此账号中附加了type=employee标签的用户或信任委托可以查看此账号用户列表的身份策略。
{
"version": "5.0",
"statement": [{
"effect": "allow",
"action": [
"iam:users:listusersv5"
],
"condition": {
"stringequals": {
"g:principaltag/type": [
"employee"
]
}
}
}]
}
控制给用户或信任委托添加哪些标签键
您可以在iam身份策略中使用标签来控制是否可以在请求中或通过主体使用特定的标签键。
此示例表示仅允许用户创建带有标签键为visible的标签。
{
"version": "5.0",
"statement": [{
"effect": "allow",
"action": [
"iam::tagforresourcev5"
],
"condition": {
"foranyvalue:stringequals": {
"g:tagkeys": [
"visible"
]
}
}
}]
}
父主题: 策略和权限
相关文档
意见反馈
文档内容是否对您有帮助?
提交成功!非常感谢您的反馈,我们会继续努力做到更好!
您可在查看反馈及问题处理状态。
系统繁忙,请稍后重试
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
