Concesión de permiso para etiquetarAWS DataSync recursos durante la creación - AWS DataSync
Información general de declaraciones de política de IAM de ejemplo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de permiso para etiquetarAWS DataSync recursos durante la creación

Algunas acciones de la API de AWS DataSync de creación de recursos le permiten especificar etiquetas al crear el recurso. Puede utilizar etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulte ¿Qué es ABAC paraAWS? en la Guía del usuario de IAM.

Para permitir que los usuarios etiqueten los recursos durante su creación, deben tener permiso para utilizar la acción que crea el recurso (por ejemplo,datasync:CreateAgent odatasync:CreateTask). Si se especifican etiquetas en la acción de creación de recursos, los usuarios también deben tener permisos explícitos para utilizar ladatasync:TagResource acción.

La acción datasync:TagResource solo se evalúa si se aplican etiquetas durante la acción de creación de recursos. Por lo tanto, un usuario que tenga permisos para crear un recurso (suponiendo que no existan condiciones de etiquetado) no necesita permisos para utilizar ladatasync:TagResource acción si no se especifica ninguna etiqueta en la solicitud.

Sin embargo, si el usuario intenta crear un recurso con etiquetas, la solicitud dará un error si el usuario no tiene permiso para utilizar ladatasync:TagResource acción.

Información general de declaraciones de política de IAM de ejemplo

Utilice los siguientes ejemplos de declaraciones de políticas de IAM para concederTagResource permisos a los usuarios que creenDataSync recursos.

La siguiente sentencia permite a los usuarios etiquetar unDataSync agente cuando lo crean.

{
  "Version": "2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Action": "datasync:TagResource",
       "Resource": "arn:aws:datasync:region:account-id:agent/*"
    }
  ]
}

La siguiente declaración permite a los usuarios etiquetar unaDataSync ubicación al crearla.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:location/*"
        }
    ]
}

La siguiente sentencia permite a los usuarios etiquetar unaDataSync tarea al crearla.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:task/*"
        }
    ]
}