在创建期间为 DataSync 资源添加标签的权限 - Amazon DataSync
IAM policy 语句示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在创建期间为 DataSync 资源添加标签的权限

某些创建资源 Amazon DataSync 的 API 操作允许您在创建资源时指定标签。您可以使用资源标签来实现基于属性的访问权限控制(ABAC)。有关更多信息,请参阅 ABAC 有什么用 Amazon? 在 IAM 用户指南中。

为使用户能够在创建时为资源添加标签,他们必须具有使用创建该资源的操作(如 datasync:CreateAgentdatasync:CreateTask)的权限。如果在资源创建操作中指定了标签,则用户还必须具有使用 datasync:TagResource 操作的显式权限。

仅当用户在资源创建操作中应用了标签时,系统才会评估 datasync:TagResource 操作。因此,如果未在此请求中指定任何标签,则拥有创建资源权限 (假定没有标记条件) 的用户无需具备使用 datasync:TagResource 操作的权限。

但是,如果用户不具备使用 datasync:TagResource 操作的权限而又试图创建带标签的资源,则请求将失败。

IAM policy 语句示例

使用以下 IAM 策略声明示例,向创建 DataSync 资源的用户授予TagResource权限。

以下语句允许用户在创建 DataSync 代理时标记代理。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
        }
    ]
}

以下语句允许用户在创建 DataSync 营业地点时为其添加标签。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
        }
    ]
}

以下语句允许用户在创建 DataSync 任务时对任务进行标记。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
        }
    ]
}