Izin untuk menandai DataSync sumber daya selama pembuatan - AWS DataSync
Contoh pernyataan kebijakan IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin untuk menandai DataSync sumber daya selama pembuatan

Beberapa tindakan AWS DataSync API yang membuat sumber daya memungkinkan Anda menentukan tag saat membuat sumber daya. Anda dapat menggunakan tag sumber daya untuk menerapkan kontrol akses berbasis atribut (ABAC). Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

Untuk memungkinkan pengguna menandai sumber daya pada pembuatan, mereka harus memiliki izin untuk menggunakan tindakan yang membuat sumber daya (seperti datasync:CreateAgent ataudatasync:CreateTask). Jika tag ditentukan dalam tindakan pembuatan sumber daya, pengguna juga harus memiliki izin eksplisit untuk menggunakan tindakan tersebut. datasync:TagResource

Tindakan datasync:TagResource akan dievaluasi hanya jika tanda diterapkan selama tindakan pembuatan sumber daya. Oleh karena itu, pengguna yang memiliki izin untuk membuat sumber daya (dengan asumsi tidak ada kondisi penandaan) tidak memerlukan izin untuk menggunakan datasync:TagResource tindakan jika tidak ada tag yang ditentukan dalam permintaan.

Namun, jika pengguna mencoba membuat sumber daya dengan tag, permintaan gagal jika pengguna tidak memiliki izin untuk menggunakan datasync:TagResource tindakan tersebut.

Contoh pernyataan kebijakan IAM

Gunakan contoh pernyataan kebijakan IAM berikut untuk memberikan TagResource izin kepada pengguna yang membuat DataSync sumber daya.

Pernyataan berikut memungkinkan pengguna untuk menandai DataSync agen ketika mereka membuat agen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Action": "datasync:TagResource",
       "Resource": "arn:aws:datasync:region:account-id:agent/*"
    }
  ]
}

Pernyataan berikut memungkinkan pengguna untuk menandai DataSync lokasi saat mereka membuat lokasi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:location/*"
        }
    ]
}

Pernyataan berikut memungkinkan pengguna untuk menandai DataSync tugas saat mereka membuat tugas.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:task/*"
        }
    ]
}