有以下政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:*",
"Resource": "*",
"Condition": {
"StringEquals": { "aws:ResourceTag/foo": "bar" }
}
}
]
}
我能够对带有 iam:CreateUser 标签的资源成功执行 iam:DeleteUser 和 "foo": "bar"。很遗憾,我无法对同一资源执行 iam:UpdateUser:
更新 IAM 用户
我正在寻找的是一种创建策略的方法,该策略仅允许对具有特定标签键值对的资源进行读/写访问。但在这一点上,我觉得我的做法是错误的。