Erteilen der Berechtigung zum Markieren vonAWS DataSync Ressourcen während der Erstellung - AWS DataSync
Beispiel für eine IAM-Richtlinienausführungsrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erteilen der Berechtigung zum Markieren vonAWS DataSync Ressourcen während der Erstellung

Mit einigen AWS DataSync-API-Aktionen zur Ressourcenerstellung können Sie Tags beim Erstellen der Ressource angeben. Sie können Resource-Tags verwenden, um eine attributbasierte Zugriffskontrolle (ABAC) zu implementieren. Weitere Informationen finden Sie unter Was ist ABAC fürAWS? im IAM-Benutzerhandbuch.

Damit Benutzer diese Möglichkeit erhalten, müssen sie über die Berechtigungen zur Verwendung der Aktion verfügen, mit der die die die Ressource erstellt wird (z. B.datasync:CreateAgent oderdatasync:CreateTask). Wenn Tags in der Aktion angegeben werden, mit der die Benutzer außerdem über die expliziten Berechtigungen zur Verwendung derdatasync:TagResource -Aktion verfügen.

Die datasync:TagResource-Aktion wird nur ausgewertet, wenn die Tags während der Aktion zur Ressourcenerstellung angewendet werden. Folglich benötigt ein Benutzer, der über die Berechtigungen zum Erstellen einer Ressource verfügt (vorausgesetzt, es bestehen keine Markierungsbedingungen), keine Berechtigungen zur Verwendung derdatasync:TagResource -Aktion, wenn keine Tags (Markierungen) in der Anforderung angegeben werden.

Wenn der Benutzer jedoch versucht, eine Ressource mit Tags zu erstellen, schlägt die Anforderung fehl, wenn der Benutzer nicht über die Berechtigungen zur Verwendung derdatasync:TagResource -Aktion verfügt.

Beispiel für eine IAM-Richtlinienausführungsrichtlinie

Verwenden Sie die folgenden beispielhaften IAM-Richtlinienanweisungen, um Benutzern, dieDataSync Ressourcen erstellen,TagResource Berechtigungen zu gewähren.

Die folgende Anweisung ermöglicht es Benutzern, einenDataSync Agenten zu markieren, wenn sie den Agenten erstellen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Action": "datasync:TagResource",
       "Resource": "arn:aws:datasync:region:account-id:agent/*"
    }
  ]
}

Die folgende Anweisung ermöglicht es Benutzern, einenDataSync Standort zu kennzeichnen, wenn sie den Standort erstellen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:location/*"
        }
    ]
}

Die folgende Anweisung ermöglicht es Benutzern, eineDataSync Aufgabe zu kennzeichnen, wenn sie die Aufgabe erstellen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:task/*"
        }
    ]
}