在整个账户范围内更新TAG

【以下的回答经过翻译处理】 我猜你是指能够在账户上对任何AWS资源添加TAG？如果是的话，您可以作为根用户执行此操作，因为默认情况下，根用户可以自由访问所有资源。但如果是其他IAM实体，您需要查找每个服务与TAG相关的权限，如ec2:CreateTags、iam:TagUser、iam:TagRole、rds:AddTagsToResource等。正如您所看到的，这是一种繁琐的方法，因为各种服务的TAG API名称不一致，因此无法快速获得适用于所有服务的策略，我相信这就是您想要的东西。因此，我建议只关注您所需的服务，查找与创建、修改、删除和不可变活动相关的API，并基于此创建一个IAM策略。如果仅针对一些服务编写这个策略，则不应该太难，如果是针对所有服务，那么就会比较复杂。

您还应该注意几个有用的资源，比如检查服务是否支持ABAC，以及在支持的服务中是否可以使用资源组一次标记多个资源。