# 将基于标签的策略与 AWS Global Accelerator 配合使用
<a name="security_iam-tag-policies"></a>

在设计 IAM 策略时，您可以通过授予对特定资源的访问权限来设置精细权限。但随着您管理的资源数量的增加，此任务会变得日益复杂。为资源添加标签后在策略声明条件中使用标签可以简化这一任务。您可以向具有特定标签的任何资源批量授予访问权限。在创建资源时，或在以后更新资源时，您可以将此标签反复应用于相关资源。

使用条件中的标签是控制对资源和请求的访问的一种方法。标签可以附加到资源，也可以从请求传入支持标签的服务。在 Global Accelerator 中，只有加速器可以包含标签。有关在 Global Accelerator 中添加标签的更多信息，请参阅[在 AWS Global Accelerator 中添加标签](tagging-in-global-accelerator.md)。

在创建 IAM 策略时，您可以使用标签条件键来控制：
+ 哪些用户可以基于加速器已有的标签对加速器执行操作。
+ 哪些标签可以在操作的请求中传递。
+ 是否特定标签键可在请求中使用。

例如，AWS `GlobalAcceleratorFullAccess` 托管用户策略为用户提供对任意资源执行任意 Global Accelerator 操作的无限权限。以下策略限制此权力并拒绝未经授权的用户对*生产*加速器执行任意 Global Accelerator 操作的权限。除托管用户策略外，客户的管理员还必须将此 IAM 策略附加到未经授权的 IAM 用户。

```
{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}
```

有关标签条件键的完整语法和语义，请参阅《IAM 用户指南》**中的[使用 IAM 标签控制访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)。