Autorisations pour le balisage des DataSync ressources lors de la création - AWS DataSync
Exemples de déclarations de politique IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour le balisage des DataSync ressources lors de la création

Certaines actions d' AWS DataSync API de création de ressources vous permettent de spécifier des balises lors de la création de la ressource. Vous pouvez utiliser des balises de ressources pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Pour permettre aux utilisateurs de baliser les ressources lors de leur création, ils doivent être autorisés à utiliser l'action qui crée la ressource (telle que datasync:CreateAgent oudatasync:CreateTask). Si des balises sont spécifiées dans l'action de création de ressources, les utilisateurs doivent également disposer d'autorisations explicites pour utiliser l'datasync:TagResourceaction.

L’action datasync:TagResource est uniquement évaluée si les balises sont appliquées pendant l’action de création de ressources. Par conséquent, un utilisateur autorisé à créer une ressource (en supposant qu'il n'existe aucune condition de balisage) n'a pas besoin d'autorisation pour utiliser l'datasync:TagResourceaction si aucune balise n'est spécifiée dans la demande.

Toutefois, si l'utilisateur tente de créer une ressource avec des balises, la demande échoue s'il n'est pas autorisé à utiliser l'datasync:TagResourceaction.

Exemples de déclarations de politique IAM

Utilisez les exemples de déclarations de politique IAM suivants pour accorder des TagResource autorisations aux utilisateurs qui créent DataSync des ressources.

L'instruction suivante permet aux utilisateurs de baliser un DataSync agent lorsqu'ils le créent.

{
  "Version": "2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Action": "datasync:TagResource",
       "Resource": "arn:aws:datasync:region:account-id:agent/*"
    }
  ]
}

L'instruction suivante permet aux utilisateurs de baliser un DataSync emplacement lorsqu'ils le créent.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:location/*"
        }
    ]
}

L'instruction suivante permet aux utilisateurs de baliser une DataSync tâche lorsqu'ils la créent.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "datasync:TagResource",
            "Resource": "arn:aws:datasync:region:account-id:task/*"
        }
    ]
}