Conceder permissão para marcarAWS DataSync recursos durante a criação - AWS DataSync
Exemplo de políticas do IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceder permissão para marcarAWS DataSync recursos durante a criação

Algumas ações de resource-creating da API do AWS DataSync permitem especificar tags quando você cria o recurso. Você pode usar tags de recursos para implementar o controle de acesso baseado em atributo (ABAC). Para obter mais informações, consulte O que é ABAC para aAWS? no Guia do usuário do IAM.

Para permitir que os usuários marquem recursos do na criação, eles precisam ter permissões para usar a ação que cria o recurso (comodatasync:CreateAgent oudatasync:CreateTask). Se as tags forem especificadas na ação de criação de recursos, os usuários também precisam ter permissões para usar adatasync:TagResource ação.

A ação datasync:TagResource será avaliada somente se as tags forem aplicadas durante a ação resource-creating. Portanto, um usuário que tiver permissões para criar um recurso (pressupondo-se que não existam condições de marcação) não precisa de permissão para usar adatasync:TagResource ação se nenhuma tag for especificada na solicitação.

No entanto, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar adatasync:TagResource ação.

Exemplo de políticas do IAM

Use o exemplo de declarações de política do IAM a seguir para concederTagResource permissões aos usuários que criamDataSync recursos.

A declaração a seguir permite que os usuáriosDataSync marquem um agente ao criá-lo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Action": "datasync:TagResource",
       "Resource": "arn:aws:datasync:region:account-id:agent/*"
    }
  ]
}

A declaração a seguir permite que os usuáriosDataSync marquem um local ao criá-lo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:location/*"
        }
    ]
}

A declaração a seguir permite que os usuáriosDataSync marquem uma tarefa ao criá-la.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:task/*"
        }
    ]
}