本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 当所有条件都匹配字符串时拒绝操作
<a name="iam-example-job-def-deny-all-image-logdriver"></a>

当`batch:Image`（容器映像 ID）条件密钥均为 “” 且（容器日志驱动程序）条件键均*string1*为 “” 时，以下策略将`batch:LogDriver`拒绝访问 [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API 操作*string2*。” AWS Batch 评估每个容器上的条件键。当作业跨越多个容器（例如多节点平行作业）时，容器可能会有不同的配置。如果在一个语句中评估多个条件键，则使用 `AND` 逻辑将它们组合在一起。因此，如果多个条件键中的任何一个与容器不匹配，则该 `Deny` 效果不会应用于该容器。相反，同一作业中的不同容器可能会被拒绝。

有关条件密钥的列表 AWS Batch，请参阅《*服务授权参考*》 AWS Batch中的[条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys)。除 `batch:ShareIdentifier` 外，所有 `batch` 条件键都可以用这种方式使用。`batch:ShareIdentifier` 条件键是为作业定义的，而不是为作业定义定义的。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "batch:RegisterJobDefinition"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Deny",
      "Action": "batch:RegisterJobDefinition",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "batch:Image": "string1",
          "batch:LogDriver": "string2"
        }
      }
    }
  ]
}
```

------