การควบคุมการเข้าถึง S3 ตามแท็กฝากข้อมูล

ฉันหวังว่าคุณจะสามารถช่วยฉันได้ ฉันได้อ่าน คู่ ของ เอกสาร ตอนนี้และฉันยังไม่แน่ใจว่ามันใช้งานได้จริงหรือไม่

ฉันต้องการให้สิทธิ์การเข้าถึงในระดับต่างๆ แก่ผู้ใช้ AWS ตามแท็ก S3

ตัวอย่าง:

• ถัง S3 ถังของฉัน มีแท็ก {"เข้าถึงทีมพัฒนา": "rwd"}ซึ่งควรทำให้ทีม "พัฒนา" มีสิทธิ์เข้าถึง "อ่าน เขียน ลบ"
• หนึ่งแท็กสำหรับแต่ละทีม ค่าคือระดับการเข้าถึง

ฉันได้ลองใช้นโยบาย IAM นี้รวมกันแล้วอย่างน้อย 10 แบบ:

[
    {
        "การดำเนินการ": [ "การดำเนินการหลายอย่างถูกลบออกเพื่อความกระชับ" ],
        "เงื่อนไข": {
            "StringEquals": {"aws:ResourceTag/access-team-dev": ["list","ro","rw","rwd"]}
        },
        "เอฟเฟกต์": "อนุญาต",
        "ทรัพยากร": "*"
    },
    {
        "การดำเนินการ": [ "การดำเนินการหลายอย่างถูกลบออกเพื่อความกระชับ" ],
        "เงื่อนไข": {
            "StringEquals": {"aws:ResourceTag/access-team-dev": ["ro","rw","rwd"]}
        },
        "เอฟเฟกต์": "อนุญาต",
        "ทรัพยากร": "*"
    },
    {
        "การดำเนินการ": [ "การดำเนินการหลายอย่างถูกลบออกเพื่อความกระชับ" ],
        "เงื่อนไข": {
            "StringEquals": {"aws:ResourceTag/access-team-dev": ["rw","rwd"]}
        },
        "เอฟเฟกต์": "อนุญาต",
        "ทรัพยากร": "*"
    },
    {
        "การดำเนินการ": [ "การดำเนินการหลายอย่างถูกลบออกเพื่อความกระชับ" ],
        "เงื่อนไข": {
            "StringEquals": {"aws:ResourceTag/access-team-dev": ["rwd"]}
        },
        "เอฟเฟกต์": "อนุญาต",
        "ทรัพยากร": "*"
    }
]

... แต่ไม่มีอะไรทำงาน

นโยบายนั้นกำหนดให้กับผู้ใช้ผ่านกลุ่ม IAM บัคเก็ตทดสอบถูกแท็กด้วย "access-team-dev": "rwd"

สองคำถาม:

• ไม่ทำงาน เลย??
• ถ้าใช่ ฉันทำอะไรผิด???

น่าผิดหวังจริง ๆ ตามเอกสาร - ถ้าฉันอ่านถูกต้อง - นี่ ควร ทำงานใช่ไหม

ขอบคุณสำหรับทุกคำตอบล่วงหน้า!