操作场景
创建标签策略后,还可启用标签策略键值限制,可帮助您实现如下效果:
1. 子用户1和子用户2,都需要打上标签键
部门。2. 子用户1 只能使用
部门:部门一,子用户2只能使用部门:部门二和部门:部门三。在为子用户1和子用户2创建标签策略时,需要为每个子用户都创建一个专用的标签策略,即在子用户1的策略中指定标签值只写部门一,在子用户2的策略中指定标签值只写部门二和部门三。
步骤1:管理员开启限制
1. 登录 标签控制台,在左侧导航栏中,单击标签策略 > 策略列表。
2. 单击创建标签策略,具体步骤请参见 创建标签策略。2个子用户有2个策略,示例如下。
2.1 二者策略相同点:
2.1.1 其中
"auto_assign": {"@@assign": "on"}表示,部门这个标签键,对于子用户1和子用户都设置了标签键的自动赋值。2.2 二者策略差异点:
子用户1中的
"auto_assign_value": {"@@assign": "on"}表示给子用户1设置了标签值的自动赋值,因为其的标签值唯一、无需手动选择。而子用户2的部门标签值不唯一,需要子用户2自行选择,因此不在策略中设置。{"tags": {"部门": {"tag_key": {"@@assign": "部门"},"tag_value": {"@@assign": ["部门一"]},"resource_type_scope": {"@@assign": ["*"]},"auto_assign": {"@@assign": "on"},"auto_assign_value": {"@@assign": "on"}}}}
{"tags": {"部门": {"tag_key": {"@@assign": "部门"},"tag_value": {"@@assign": ["部门二","部门三"]},"resource_type_scope": {"@@assign": ["*"]},"auto_assign": {"@@assign": "on"}}}}
3. 然后将策略1绑定给子用户1,策略2绑定给子用户2。详情请参见 绑定标签策略。
4. 在标签策略列表,单击开启,在弹出提示框中确认即可。
步骤2:子用户验证
1. 切换为子用户1登录。效果如下:
条件 | 使用标签策略、且开启键值限制 | 使用标签策略、不开启键值限制 | 不使用标签策略 |
效果 |  |  |  |
2. 切换为子用户2登录。效果如下:
条件 | 使用标签策略、且开启键值限制 | 使用标签策略、不开启键值限制 | 不使用标签策略 |
效果 |  |  | |
