本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 資源：依任務定義和任務佇列上的資源標籤限制任務提交
<a name="iam-example-restrict-job-submission-by-tags"></a>

只有在任務佇列具有 標籤`Environment=dev`且任務定義具有 標籤 時，才能使用下列政策來提交任務`Project=calc`。此政策示範如何在任務提交期間使用資源標籤來控制對 AWS Batch 資源的存取。

**重要**  
使用評估任務定義資源標籤的政策提交任務時，您必須使用任務定義修訂格式 () 提交任務`job-definition:revision`。如果您在未指定修訂的情況下提交任務，將不會評估任務定義標籤，這可能會繞過您預期的存取控制。資源 ARN 中的 `*:*` 模式會強制執行提交必須包含修訂，確保標籤政策一律有效套用。

此政策使用兩個不同的陳述式，因為它會將不同的標籤條件套用至不同的資源類型。在限制任務提交的資源層級存取範圍時，您必須同時提供任務佇列和任務定義資源類型。

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "batch:SubmitJob",
      "Resource": "arn:aws:batch:*:*:job-queue/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "dev"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "batch:SubmitJob",
      "Resource": "arn:aws:batch:*:*:job-definition/*:*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Project": "calc"
        }
      }
    }
  ]
}
```