本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
有些資源建立 AWS DataSync API 動作可讓您在建立資源時指定標籤。您可以使用資源標籤來實作屬性型存取控制 (ABAC)。如需詳細資訊,請參閱《IAM 使用者指南》中的 ABAC for AWS?。
若要讓使用者在建立時標記資源,他們必須具有使用建立資源之動作 (例如 datasync:CreateAgent或 ) 的許可datasync:CreateTask。如果在資源建立動作中指定標籤,使用者也必須具有明確的許可才能使用datasync:TagResource動作。
只有在資源建立動作中套用了標籤時,才評估 datasync:TagResource 動作。因此,如果請求中未指定標籤,則具有建立資源許可 (假設沒有標記條件) 的使用者不需要使用 datasync:TagResource動作的許可。
不過,如果使用者嘗試建立具有標籤的資源,則如果使用者沒有使用該datasync:TagResource動作的許可,請求會失敗。
IAM 政策陳述式範例
使用下列範例 IAM 政策陳述式,將TagResource許可授予建立 DataSync 資源的使用者。
下列陳述式允許使用者在建立代理程式時標記 DataSync 代理程式。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:region:account-id:agent/*"
}
]
}下列陳述式允許使用者在建立位置時標記 DataSync 位置。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:region:account-id:location/*"
}
]
}下列陳述式允許使用者在建立任務時標記 DataSync 任務。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:region:account-id:task/*"
}
]
}