Octroi de l'autorisation de baliserAWS DataSync les ressources lors de leur création - AWS DataSync
Exemples de déclarations de politique IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi de l'autorisation de baliserAWS DataSync les ressources lors de leur création

Certaines actions d'API AWS DataSync de création de ressources vous permettent de spécifier des balises lorsque vous créez la ressource. Vous pouvez utiliser des balises de ressource pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, consultez Présentation d'ABAC pourAWS. dans le guide de l'utilisateur IAM.

Pour permettre aux utilisateurs de baliser les ressources lors de leur création, ils doivent être autorisés à utiliser l'action qui crée la ressource (par exempledatasync:CreateAgent oudatasync:CreateTask). Si des balises sont spécifiées dans l'action de création de ressource, les utilisateurs doivent également avoir des autorisations explicites d'utiliser l'datasync:TagResourceaction.

L'action datasync:TagResource est uniquement évaluée si les balises sont appliquées pendant l'action de création de ressources. Par conséquent, un utilisateur qui est autorisé à créer une ressource (en supposant qu'il n'existe aucune condition de balisage) n'a pas besoin des autorisations d'utiliser l'datasync:TagResourceaction si aucune balise n'est spécifié dans la demande.

Toutefois, si l'utilisateur essaie de créer une ressource avec des balises, la demande échoue s'il n'a pas les autorisations d'utiliser l'datasync:TagResourceaction.

Exemples de déclarations de politique IAM

Utilisez les exemples de déclarations de politique IAM suivants pour accorderTagResource des autorisations aux utilisateurs qui créentDataSync des ressources.

L'instruction suivante permet aux utilisateurs de baliser unDataSync agent lorsqu'ils le créent.

{
  "Version": "2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Action": "datasync:TagResource",
       "Resource": "arn:aws:datasync:region:account-id:agent/*"
    }
  ]
}

L'instruction suivante permet aux utilisateurs de baliser unDataSync lieu lorsqu'ils le créent.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:location/*"
        }
    ]
}

L'instruction suivante permet aux utilisateurs de baliser uneDataSync tâche lorsqu'ils la créent.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:task/*"
        }
    ]
}