本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用标签控制 Lightsail 资源的访问权限
您可以在 Amazon Lightsail 中使用标签来控制对资源的访问权限、控制对请求的访问以及对标签密钥的访问权限。在本指南中,您将学习如何创建 AWS Identity and Access Management (IAM) 策略,该策略指定创建或删除 Lightsail 资源所需的键值标签,并将该策略附加到需要提出这些请求的用户或群组。
**注意**
[要详细了解 Lightsail 中的标签、可以标记哪些资源以及限制,请参阅标签。](amazon-lightsail-tags.md)
## 步骤 1:创建 IAM policy
首先,在 IAM 控制台中创建以下 IAM policy。有关创建 IAM policy 的更多信息,请参阅 IAM 文档中的[创建 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
除非在创建请求中定义了密钥标签`allow`和值`true`,否则以下策略限制用户创建新的 Lightsail 资源。该策略还会限制用户删除资源,除非他们具有 `allow/true` 键值标签。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lightsail:Create*",
"lightsail:TagResource",
"lightsail:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/allow": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lightsail:Delete*",
"lightsail:TagResource",
"lightsail:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/allow": "true"
}
}
}
]
}
```
------
以下策略会限制用户更改其键值标签不是 `allow/false` 的资源的标签。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"lightsail:TagResource"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/allow": "false"
}
}
}
]
}
```
------
## 步骤 2:将策略附加到用户或组
创建 IAM 策略后,将这些策略附加到需要使用键值对创建 Lightsail 资源的用户或组。有关将 IAM 策略附加到用户或组的更多信息,请参阅 IAM 文档中的[添加和删除 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。