Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Tags mit Amazon FSx
Sie können Tags zur Steuerung des Zugriffs auf Amazon FSx-Ressourcen verwenden, um eine attributbasierte Zugriffskontrolle (ABAC) zu implementieren. Um während der Erstellung Tags auf Amazon FSx-Ressourcen anzuwenden, müssen Benutzer über bestimmteAWS Identity and Access Management (IAM) -Berechtigungen verfügen.
Erteilen der Berechtigung zum Markieren von Ressourcen während der Erstellung
Mit einigen Amazon FSx for Lustre-API-Aktionen zur Erstellung von Tags bei der Erstellung der Ressource angeben werden. Sie können diese Resource-Tags verwenden, um eine attributbasierte Zugriffskontrolle (ABAC) zu implementieren. Weitere Informationen finden Sie unter Was ist ABAC fürAWS? im IAM-Benutzerhandbuch.
Damit Benutzer diese Möglichkeit erhalten, benötigen sie die die die die die die Ressource wie die die die die Ressource erstellt wird, benötigen sie die die die die Ressource wie die die die die Ressource erstellt wird, wie zum Beispielfsx:CreateFileSystem. Wenn Tags in der Aktion angegeben werden, mit der die Ressource erstellt wird, führt IAM eine zusätzliche Autorisierung für diefsx:TagResource -Aktion aus, um die Berechtigungen der Benutzer zum Erstellen von Tags zu überprüfen. Daher benötigen die Benutzer außerdem die expliziten Berechtigungen zum Verwenden der fsx:TagResource-Aktion.
Die folgende Beispielrichtlinie ermöglicht es Benutzern, Dateisysteme zu erstellen und ihnen während der Erstellung in einem bestimmten Bereich Tags zuzuweisenAWS-Konto.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*" ] } ] }
In ähnlicher Weise erlaubt die folgende Richtline Benutzern, Backups auf einem bestimmten Dateisystem zu erstellen und ihnen dabei beliebige Tags hinzuzufügen.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
Diefsx:TagResource -Aktion wird nur ausgewertet, wenn Tags während der Aktion zur Ressourcenerstellung angewendet werden. Folglich benötigt ein Benutzer, der über die Berechtigungen zum Erstellen einer Ressource verfügt (vorausgesetzt, es bestehen keine Markierungsbedingungen), keine Berechtigungen zur Verwendung derfsx:TagResource -Aktion, wenn keine Tags in der Anforderung angegeben werden. Wenn der Benutzer allerdings versucht, eine Ressource mit Tags zu erstellen, schlägt die Anforderung fehl, wenn der Benutzer nicht über die Berechtigungen für die fsx:TagResource-Aktion verfügt.
Weitere Informationen über das Markieren von Tags von Amazon FSx-Ressourcen mit Tags von Tags von Tags von Tags von Tags von TagsKennzeichnen Sie Ihre Amazon FSx for Lustre-Ressourcen von Amazon Weitere Informationen zur Verwendung von Tags zur Steuerung des Zugriffs auf Amazon FSx for Lustre-Ressourcen zur Steuerung des Zugriffs mit TagsVerwenden von mithilfe von von von von von von von von von von von von von von von FSx von mit zur Steuerung des Zugriffs auf Amazon FSx for Lustre-Ressourcen
Verwenden von mithilfe von von von von von von von von von von von von von von von FSx von mit
Um den Zugriff auf Amazon FSx-Ressourcen und -Aktionen zu kontrollieren, können Sie IAM-Richtlinien verwenden, die auf Tags basieren. Sie können diese Steuerung auf zwei Arten bereitstellen:
-
Sie können den Zugriff auf Amazon FSx-Ressourcen basierend auf Tags auf diesen -Ressourcen steuern.
-
Sie können steuern, welche Tags in einer IAM-Anforderungsbedingung übergeben werden können.
Informationen zur Verwendung von Tags zur Steuerung des Zugriffs aufAWS Ressourcen finden Sie im IAM-Benutzerhandbuch unter Steuern des Zugriffs mithilfe von Tags. Weitere Informationen über das Markieren von Amazon FSx-Ressourcen bei der Erstellung von Tags von Tags von Tags von Tags von Tags von TagsErteilen der Berechtigung zum Markieren von Ressourcen während der Erstellung von Amazon FSx-Ressourcen Weitere Informationen über das Markieren von -Ressourcen mit Tags von Tags von -Ressourcen mit TagsKennzeichnen Sie Ihre Amazon FSx for Lustre-Ressourcen von Tags von
Zugriffskontrolle mit Tags auf einer Ressource basierend auf Tags auf einer Ressource.
Um zu steuern, welche Aktionen ein Benutzer oder eine Rolle auf einer Amazon FSx-Ressource ausführen kann, können Sie Tags für die Ressource verwenden. Beispielsweise möchten Sie möglicherweise bestimmte API-Operationen für eine Dateisystemressource zulassen oder verweigern, die auf dem Schlüssel-Wert-Paar des Tags für die Ressource basieren.
Beispielrichtlinie — Erstellen Sie ein Dateisystem auf, wenn Sie ein bestimmtes Tag angeben
Diese Richtlinie ermöglicht es dem Benutzer, ein Dateisystem nur zu erstellen, wenn er es mit einem bestimmten Tag-Schlüssel-Wertepaar taggt, in diesem Beispielkey=Department, value=Finance.
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
Beispielrichtlinie — Backups nur auf Dateisystemen mit einem bestimmten Tag erstellen
Diese Richtlinie erlaubt Benutzern, Backups nur auf Dateisystemen zu erstellen, die mit dem Schlüsselwertpaar gekennzeichnet sindkey=Department, value=Finance, und das Backup wird mit dem Tag erstelltDeparment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Beispielrichtlinie — Erstellen Sie ein Dateisystem mit einem bestimmten Tag aus Backups mit einem bestimmten Tag
Diese Richtlinie ermöglicht es Benutzern, Dateisysteme, die mit gekennzeichnet sind,Department=Finance nur aus Backups zu erstellen, die mit gekennzeichnet sindDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
Beispielrichtlinie — Dateisysteme mit bestimmten Tags löschen
Diese Richtlinie erlaubt einem Benutzer, nur Dateisysteme zu löschen, die Tags mit Tags mit Tags mit Tags mit Tags mit Tags mit Tags mit Tags mit Tags mitDepartment=Finance Wenn sie ein letztes Backup erstellen, muss es mit markiert werdenDepartment=Finance. Für Lustre-Dateisysteme benötigen Benutzer diefsx:CreateBackup Berechtigung, das endgültige Backup zu erstellen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Beispielrichtlinie — Erstellen Sie Datenrepository-Aufgaben auf Dateisystemen mit einem bestimmten Tag
Diese Richtlinie ermöglicht es Benutzern, Datenrepository-Aufgaben zu erstellen, die mit gekennzeichnet sindDepartment=Finance, und nur auf Dateisystemen, die mit gekennzeichnet sindDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:task/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
