在创建过程中授予标记资源的权限 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在创建过程中授予标记资源的权限

某些资源创建 Amazon FSX API 操作允许您在创建资源时指定标签。您可以使用资源标签来实现基于属性的访问控制 (ABAC)。有关更多信息,请参阅 。什么是适用于的 ABACAmazon中的IAM 用户指南.

为使用户能够在创建时为资源添加标签,他们必须具有使用创建该资源的操作(如 fsx:CreateFileSystemfsx:CreateBackup)的权限。如果在资源创建操作中指定了标签,则 Amazon 会对 fsx:TagResource 操作执行额外的授权,以验证用户是否具备创建标签的权限。因此,用户还必须具有使用 fsx:TagResource 操作的显式权限。

下面的策略允许用户创建文件系统并在创建特定的文件系统期间向文件系统应用标签。 Amazon Web Services 账户 .

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*" } ] }

同样,下面的策略允许用户在特定文件系统上创建备份并在创建备份期间向备份应用任何标签。

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }

仅当用户在资源创建操作中应用了标签时,系统才会评估 fsx:TagResource 操作。因此,如果未在此请求中指定任何标签,则拥有创建资源权限 (假定没有标记条件) 的用户无需具备使用 fsx:TagResource 操作的权限。但是,如果用户不具备使用 fsx:TagResource 操作的权限而又试图创建带标签的资源,则请求将失败。

有关标记 Amazon FSx 资源的更多信息,请参阅标记 Amazon FSX 资源. 有关使用标签控制对 FSx 资源的访问的更多信息,请参阅使用标签控制对 Amazon FSx 资源的访问.