在创建过程中授予标记AWS DataSync资源的权限

某些资源创建 AWS DataSync API 操作允许您在创建资源时指定标签。您可以使用资源标签来实现基于属性的访问控制 (ABAC)。有关更多信息，请参阅什么是适用于的 ABACAWS？在 IAM 用户指南中。

为使用户能够在创建时为资源添加标签，他们必须具有使用创建该资源的操作（如datasync:CreateAgent或datasync:CreateTask）的权限。如果在资源创建操作中指定了标签，则用户还必须具有使用datasync:TagResource操作的显式权限。

仅当用户在资源创建操作中应用了标签时，系统才会评估 datasync:TagResource 操作。因此，如果未在此请求中指定任何标签，则拥有创建资源权限（假定没有标记条件）的用户无需具备使用datasync:TagResource操作的权限。

但是，如果用户不具备使用datasync:TagResource操作的权限而又试图创建带标签的资源，则请求将失败。

示例 IAM policy

使用以下示例 IAM 策略声明向创建DataSync资源的用户授予TagResource权限。

以下语句允许用户在创建DataSync代理时标记代理。


{
  "Version": "2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Action": "datasync:TagResource",
       "Resource": "arn:aws:datasync:region:account-id:agent/*"
    }
  ]
}

以下语句允许用户在创建DataSync位置时标记该位置。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:location/*"
        }
    ]
}

以下语句允许用户在创建DataSync任务时标记任务。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:task/*"
        }
    ]
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

使用服务相关角色

防止跨服务混淆代理