本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在创建期间为 DataSync 资源添加标签的权限
某些创建资源 AWS DataSync 的 API 操作允许您在创建资源时指定标签。您可以使用资源标签来实现基于属性的访问权限控制(ABAC)。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在 *IAM 用户指南*中。
为使用户能够在创建时为资源添加标签,他们必须具有使用创建该资源的操作(如 `datasync:CreateAgent` 或 `datasync:CreateTask`)的权限。如果在资源创建操作中指定了标签,则用户还必须具有使用 `datasync:TagResource` 操作的显式权限。
仅当用户在资源创建操作中应用了标签时,系统才会评估 `datasync:TagResource` 操作。因此,如果未在此请求中指定任何标签,则拥有创建资源权限 (假定没有标记条件) 的用户无需具备使用 `datasync:TagResource` 操作的权限。
但是,如果用户不具备使用 `datasync:TagResource` 操作的权限而又试图创建带标签的资源,则请求将失败。
## IAM policy 语句示例
使用以下 IAM 策略声明示例,向创建 DataSync 资源的用户授予`TagResource`权限。
以下语句允许用户在创建 DataSync 代理时标记代理。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:agent/*"
}
]
}
```
------
以下语句允许用户在创建 DataSync 营业地点时为其添加标签。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:111122223333:location/*"
}
]
}
```
------
以下语句允许用户在创建 DataSync 任务时对任务进行标记。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "datasync:TagResource",
"Resource": "arn:aws:datasync:us-east-1:444455556666:task/*"
}
]
}
```
------