# Como usar políticas baseadas em tags com o AWS Global Accelerator
<a name="security_iam-tag-policies"></a>

Ao criar políticas do IAM, você pode definir permissões granulares concedendo acesso a recursos específicos. No entanto, à medida que o número de recursos que você gerencia aumenta, essa tarefa se torna mais difícil. Aplicar tags a recursos e depois usá-las em condições de declaração de política pode facilitar essa tarefa. Você pode conceder acesso em massa a qualquer recurso que tenha determinada tag. Você pode aplicar essa tag repetidamente a recursos relevantes ao criar o recurso ou ao atualizá-lo posteriormente.

O uso de tags em condições é uma forma de controlar o acesso a recursos e solicitações. As tags podem ser anexadas a um recurso ou passadas na solicitação para serviços compatíveis com tags. No Global Accelerator, somente aceleradores podem incluir tags. Para obter mais informações sobre a aplicação de tags no Global Accelerator, consulte [Marcar no AWS Global Accelerator](tagging-in-global-accelerator.md).

Ao criar uma política do IAM, você poderá usar chaves de condição de tag para controlar:
+ Quais usuários podem executar ações em um acelerador, com base nas tags que ele já tem.
+ Quais tags podem ser transmitidas na solicitação de uma ação.
+ Se chaves de tags específicas podem ser usadas em uma solicitação.

Por exemplo, a política de usuário gerenciada pela AWS `GlobalAcceleratorFullAccess` oferece aos usuários permissão ilimitada para executar qualquer ação do Global Accelerator em qualquer recurso. A seguinte política limita esse poder e nega a usuários não autorizados permissão para realizar qualquer ação do Global Accelerator em qualquer acelerador de *produção*. O administrador de um cliente deve anexar essa política do IAM a usuários não autorizados do IAM, além da política de usuário gerenciada.

```
{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}
```

Para obter a sintaxe e a semântica completas das chaves de condição de tag, consulte [Controlar o acesso usando tags do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) no *Guia do usuário do IAM*.