AWS IAM 策略：强制资源创建时使用指定标签和标签值范围

以下是一个示例策略，它要求用户在创建 AWS 资源时必须使用指定的标记，并且标记值必须在指定的范围内：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RequireTags",
            "Effect": "Deny",
            "Action": [
                "ec2:Create*",
                "s3:Put*",
                "rds:Create*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "Environment"
                    ]
                },
                "ForAnyValue:StringNotEquals": {
                    "aws:TagKeys": [
                        "CostCenter"
                    ]
                },
                "StringEquals": {
                    "aws:RequestTag/Department": [
                        "Finance",
                        "Marketing"
                    ],
                    "aws:RequestTag/Environment": [
                        "Production",
                        "Staging"
                    ],
                    "aws:RequestTag/CostCenter": [
                        "12345",
                        "67890"
                    ]
                }
            }
        }
    ]
}

该策略包含一个拒绝声明，它将拒绝用户执行创建 EC2 实例、S3 存储桶和 RDS 实例等操作，除非用户符合以下条件：

1. 对于所有标记键，请求标记键必须等于 'Department' 和 'Environment'。
2. 对于任何标记键，请求标记键不能等于 'CostCenter'。
3. 请求标记值必须等于 'Finance' 或 'Marketing'（对于 'Department' 标记键），以及 'Production' 或 'Staging'（对于 'Environment' 标记键），以及 '12345' 或 '67890'（对于 'CostCenter' 标记键）。

使用这个策略，管理员可以确保 AWS 资源始终使用正确的标记，并且标记值在指定的范围内。