为IAM新增一个策略，策略的内容是AWS创建资源必须有指定的tags，并且tag的value必须是指定的范围

以下是一个示例策略，它要求用户在创建AWS资源时必须使用指定的标记，并且标记值必须在指定的范围内：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RequireTags",
            "Effect": "Deny",
            "Action": [
                "ec2:Create*",
                "s3:Put*",
                "rds:Create*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Department",
                        "Environment"
                    ]
                },
                "ForAnyValue:StringNotEquals": {
                    "aws:TagKeys": [
                        "CostCenter"
                    ]
                },
                "StringEquals": {
                    "aws:RequestTag/Department": [
                        "Finance",
                        "Marketing"
                    ],
                    "aws:RequestTag/Environment": [
                        "Production",
                        "Staging"
                    ],
                    "aws:RequestTag/CostCenter": [
                        "12345",
                        "67890"
                    ]
                }
            }
        }
    ]
}

该策略包含一个拒绝声明，它将拒绝用户执行创建EC2实例、S3存储桶和RDS实例等操作，除非用户符合以下条件：

1. 对于所有标记键，请求标记键必须等于“Department”和“Environment”。
2. 对于任何标记键，请求标记键不能等于“CostCenter”。
3. 请求标记值必须等于“Finance”或“Marketing”（对于“Department”标记键），以及“Production”或“Staging”（对于“Environment”标记键），以及“12345”或“67890”（对于“CostCenter”标记键）。

使用这个策略，管理员可以确保AWS资源始终使用正确的标记，并且标记值在指定的范围内。