本文介绍如何基于标签控制IAM身份的权限，实现不同用户可以拥有不同云资源访问和操作权限。

注意：目前并非所有云资源均支持标签权限管控（ResourceTag），已支持的产品详见：云服务支持的Condition条件键

标签分权

资源用标签进行标识分类后，可将标签作为IAM权限策略的匹配条件，可以实现云资源精细化权限管理。基于标签控制IAM用户权限（即标签分权）的逻辑如下：

标签授权适用于企业精细化分工管理场景，当资源数量较多时，通过标签授权可以避免对资源单独授权，实现一次性为同特征的资源授权，降低管理成本和复杂度。

注意：在标签分权中，标签信息是权限策略的一种条件或属性，用户被授予标签资源权限时的鉴权评估逻辑遵循IAM策略权限评估逻辑。

操作示例

场景说明：控制某IAM用户只能操作带有“env:test”标签的云服务器ECS资源，如下图所示：

1. 前提条件

• 请为火山引擎账号准备一个IAM用户，详情请参见：IAM用户管理

• 请准备好相关的资源。在本场景中需创建云服务器ECS，详情请参见：创建实例

2. 创建自定义策略并为IAM用户授权

• 使用火山引擎账号登陆IAM控制台

• 在策略管理页点击新建自定义策略，策略定义方法请参加：策略语法。在本场景中定义策略如下

{
    "Statement": [
        {
            "Action": [
                "ecs:*"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "volc:ResourceTag/env": "test"
                }
            }
        }
    ]
}

• 将该策略授权给IAM用户，授权方法请参见：用户授权

3. 为相关的资源绑定标签

可通过资源标签控制台或云服务器控制台为资源绑定标签，详情请参加：标签管理

4. （可选）访问带有标签的资源

使用IAM用户于控制台、OpenAPI操作相关资源，验证权限策略是否生效

注意：控制台操作时需明确操作对象，OpenAPI操作时入参需带资源信息