本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在创建过程中授予标记Amazon DataSync资源的权限
某些资源创建 Amazon DataSync API 操作允许您在创建资源时指定标签。您可以使用资源标签来实现基于属性的访问控制 (ABAC)。有关更多信息,请参阅什么是适用于的 ABACAmazon? 在 IAM 用户指南中。
为使用户能够在创建时为资源添加标签,他们必须具有使用创建该资源的操作(如datasync:CreateAgent或datasync:CreateTask)的权限。如果在资源创建操作中指定了标签,则用户还必须具有使用该datasync:TagResource操作的显式权限。
仅当用户在资源创建操作中应用了标签时,系统才会评估 datasync:TagResource 操作。因此,如果未在此请求中指定任何标签,则拥有创建资源权限(假定没有标记条件)的用户无需具备使用datasync:TagResource操作的权限。
但是,如果用户不具备使用datasync:TagResource操作的权限,则请求将失败。
示例 IAM 策略声明
使用以下示例 IAM 策略声明向创建 DataSync 资源的用户授予TagResource权限。
以下语句允许用户在创建 DataSync 代理时标记代理。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "datasync:TagResource", "Resource": "arn:aws:datasync:region:account-id:agent/*" } ] }
以下语句允许用户在创建 DataSync 位置时标记该位置。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "datasync:TagResource", "Resource": "arn:aws:datasync:region:account-id:location/*" } ] }
以下语句允许用户在创建 DataSync 任务时标记任务。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "datasync:TagResource", "Resource": "arn:aws:datasync:region:account-id:task/*" } ] }