Verwenden von Tags mit Amazon EFS - Amazon Elastic File System
Zuordnung von Tags (Markierungen) zu Ressourcen während der ErstellungZugriffssteuerung mit -TagsZugriffssteuerung mithilfe von Tags

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Tags mit Amazon EFS

Sie können Tags verwenden, um den Zugriff auf Amazon EFS-Ressourcen zu kontrollieren und um attributbasierte Zugriffskontrolle (ABAC) zu verwenden. Weitere Informationen finden Sie unter:

Anmerkung

Die Amazon EFS-Replikation unterstützt nicht die Verwendung von Tags für die attributbasierte Zugriffskontrolle (ABAC).

Um während der Erstellung Tags auf Amazon EFS-Ressourcen anzuwenden, müssen Benutzer über bestimmteAWS Identity and Access Management (IAM) -Berechtigungen verfügen.

Erteilen von Berechtigung zum Markieren von Ressourcen während der Erstellung

Mit den folgenden Aktionen zur Erstellung der Amazon EFS-API mit -Tags können Sie Tags beim Erstellen der Ressource angeben.

  • CreateAccessPoint

  • CreateFileSystem

Damit Benutzer diese Möglichkeit erhalten, benötigen sie die Berechtigung zum Verwenden der Aktion, die Ressource wieelasticfilesystem:CreateAccessPoint oder erstelltelasticfilesystem:CreateFileSystem. Wenn Tags in der Aktion angegeben werden, mit der die Ressource erstellt wird, wirdAWS eine zusätzliche Autorisierung für dieelasticfilesystem:TagResource -Aktion aus, um die Berechtigungen der Benutzer zum Erstellen von Tags zu überprüfen. Daher benötigen die Benutzer außerdem die expliziten Berechtigungen zum Verwenden der elasticfilesystem:TagResource-Aktion.

Verwenden Sie in der IAM-Richtliniendefinition für die elasticfilesystem:TagResource-Aktion das Condition-Element mit dem elasticfilesystem:CreateAction-Bedingungsschlüssel, um der Aktion, die die Ressource erstellt, Markierungsberechtigungen zu erteilen.

Beispiel Richtlinie: Erteilen von Tags zu Dateisystemen nur zum Zeitpunkt der Erstellung

Mit der folgenden Beispielrichtlinie können Benutzer Dateisysteme erstellen und Tags nur während der Erstellung zuordnen. Die Markierung von bestehenden Ressourcen durch die Benutzer ist nicht zulässig. (Sie können die elasticfilesystem:TagResource-Aktion nicht direkt aufrufen.)

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}

Verwenden von Tags zur Steuerung des Zugriffs auf Ihre Amazon EFS-Ressourcen

Um den Zugriff auf Amazon EFS-Ressourcen und -Aktionen zu kontrollieren, können Sie IAM-Richtlinien verwenden, die auf Tags basieren. Sie können diese Steuerung auf zwei Arten bereitstellen:

  • Sie können den Zugriff auf Amazon EFS-Ressourcen basierend auf Amazon EFS-Ressourcen basierend auf Amazon EFS-Ressourcen basierend auf -Ressourcen basierend auf Amazon EFS-Ressourcen basierend auf

  • Sie können die Tags in einer IAM-Anforderungsbedingung übergeben werden können.

Informationen zur Verwendung von Tags zur Steuerung des Zugriffs aufAWS Ressourcen finden Sie im IAM-Benutzerhandbuch unter Steuern des Zugriffs mithilfe von Tags.

Zugriffssteuerung auf der Grundlage von Tags auf einer Ressource

Um zu steuern, welche Aktionen ein Benutzer oder eine Rolle auf einer Amazon EFS-Ressource ausführen kann, können Sie Tags für die Ressource verwenden. Beispielsweise möchten Sie möglicherweise bestimmte API-Operationen für eine Dateisystemressource zulassen oder verweigern, die auf dem Schlüssel-Wert-Paar des Tags für die Ressource basieren.

Beispiel Richtlinie: Erstellen Sie ein Dateisystem nur, wenn ein bestimmtes Tag verwendet wird

Die folgende Beispielrichtlinie ermöglicht es dem Benutzer, ein Dateisystem nur zu erstellen, wenn er es mit einem bestimmten Tag-Schlüssel-Wert-Paar taggt, in diesem Beispielkey=Department,value=Finance.

{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
Beispiel Richtlinie: Dateisysteme mit bestimmten Tags löschen

Mit der folgenden Beispielrichtlinie können Benutzer nur Dateisysteme löschen, die mit markiert sindDepartment=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}