操作场景
创建标签策略后,还可启用标签策略键值限制,可帮助您实现如下效果:
1. 子用户1和子用户2,都需要打上标签键
部门
。2. 子用户1 只能使用
部门:部门一
,子用户2只能使用部门:部门二
和部门:部门三
。思路如下:
在为子用户1和子用户2创建标签策略时,只能各自一个专用的标签策略,在子用户1的策略中指定标签值只写部门一,在子用户2的策略中指定标签值只写部门二和部门三。
步骤1:管理员开启限制
1. 登录 标签控制台,在左侧导航栏中,单击标签策略 > 策略列表。
2. 单击创建标签策略,参考创建标签策略。2个子用户有2个策略,示例如下。
2.1 二者策略相同点,
2.1.1 其中
"auto_assign": {"@@assign": "on"}
表示,部门
这个标签键,对于子用户1和子用户都设置了标签键的自动赋值。2.1.2 其中
"tag_deletion_disable": { "@@assign": "on" }
表示,部门
这个标签键,不允许被删除(也即删除按钮被置灰)。2.2 二者策略差异点,
"auto_assign_value": {"@@assign": "on"}
表示,对于子用户1帮他设置了标签值的自动赋值,因为他的标签值唯一、也即不需要他再手动选择。但子用户2的部门标签值不唯一,需要子用户2完成选择,因此不在策略中设置。{"tags": {"部门": {"tag_key": {"@@assign": "部门"},"tag_value": {"@@assign": ["部门一"]},"resource_type_scope": {"@@assign": ["*"]},"auto_assign": {"@@assign": "on"},"auto_assign_value": {"@@assign": "on"},"tag_deletion_disable": {"@@assign": "on"}}}}
{"tags": {"部门": {"tag_key": {"@@assign": "部门"},"tag_value": {"@@assign": ["部门二","部门三"]},"resource_type_scope": {"@@assign": ["*"]},"auto_assign": {"@@assign": "on"},"tag_deletion_disable": {"@@assign": "on"}}}}
3. 然后将策略1绑定给子用户1,策略2绑定给子用户2。参考绑定标签策略。
4. 在标签策略列表,单击开启,在弹出提示框中确认即可。
![](https://qcloudimg.tencent-cloud.cn/image/document/221b583d961d8be659d70bf733224849.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/221b583d961d8be659d70bf733224849.png)
步骤2:子用户验证
1. 切换为子用户1登录。效果如下。
条件 | 使用标签策略、且开启键值限制 | 使用标签策略、不开启键值限制 | 不使用标签策略 |
效果 | ![]() | ![]() | ![]() |
2. 切换为子用户2登录。效果如下。
条件 | 使用标签策略、且开启键值限制 | 使用标签策略、不开启键值限制 | 不使用标签策略 |
效果 | ![]() | ![]() | ![]() |