Uso de etiquetas con Amazon FSx
Puede utilizar etiquetas para controlar el acceso a los recursos de Amazon FSx e implementar el control de acceso basado en atributos (ABAC). Para aplicar etiquetas a los recursos de Amazon FSx durante la creación, los usuarios deben tener determinados permisos IAM AWS Identity and Access Management.
Conceder permisos para etiquetar recursos durante la creación
Con algunas acciones del API de creación de recursos de Amazon FSx para Lustre, puede especificar etiquetas al crear el recurso. Puede utilizar estas etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
Para que los usuarios puedan etiquetar recursos durante su creación, deben tener permiso para utilizar la acción que crea el recurso, como fsx:CreateFileSystem. Si se especifican etiquetas en la acción de creación de recursos, IAM realiza una autorización adicional en la acción fsx:TagResource para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción fsx:TagResource.
La siguiente directiva de ejemplo permite a los usuarios crear sistemas de archivos y aplicarles etiquetas durante la creación en una Cuenta de AWS determinada.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*" ] } ] }
De la misma manera, la siguiente política permite que los usuarios creen copias de seguridad en un sistema de archivos específico, y apliquen cualquier etiqueta a la copia de seguridad durante la creación de la copia de seguridad.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
La acción fsx:TagResource solo se evalúa si se aplican etiquetas durante la acción de creación de recursos. Por lo tanto, un usuario que tenga permisos para crear un recurso (suponiendo que no existan condiciones de etiquetado) no necesita permiso para utilizar la acción fsx:TagResource si no se especifica ninguna etiqueta en la solicitud. Sin embargo, si el usuario intenta crear un recurso con etiquetas, la solicitud dará un error si el usuario no tiene permisos para utilizar la acción fsx:TagResource.
Para obtener más información acerca del etiquetado de recursos de Amazon FSx, consulte Etiquetar los recursos de Amazon FSx para Lustre. Para obtener más información sobre el uso de etiquetas para controlar el acceso a los recursos de Amazon FSx para Lustre, consulte Uso de etiquetas para controlar el acceso a los recursos de Amazon FSx .
Uso de etiquetas para controlar el acceso a los recursos de Amazon FSx
Para controlar el acceso a los recursos y las acciones de Amazon FSx, puede utilizar políticas de (IAM) basadas en etiquetas. Puede proporcionar este control de dos maneras:
-
Puede controlar el acceso a los recursos de Amazon FSx basándose en las etiquetas de dichos recursos.
-
Puede controlar qué etiquetas se pueden pasar en una condición de solicitud IAM.
Para obtener más información sobre el uso de etiquetas para controlar el acceso a los recursos de AWS, consulte Control del acceso mediante el uso de etiquetas en la Guía del usuario de IAM. Para obtener más información acerca del etiquetado de recursos de Amazon FSx en la creación, consulte Conceder permisos para etiquetar recursos durante la creación. Para obtener más información acerca del etiquetado de recursos, consulte Etiquetar los recursos de Amazon FSx para Lustre.
Control del acceso a un recurso en función de las etiquetas
Para controlar qué acciones puede realizar un usuario o rol en un recurso de Amazon FSx, puede utilizar etiquetas en el recurso. Por ejemplo, es posible que desee permitir o denegar acciones de la API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.
ejemplo Política de ejemplo: crear un sistema de archivos al proporcionar una etiqueta específica
Esta política permite que el usuario cree un sistema de archivos solo cuando lo etiqueta con un par clave-valor específico, en este ejemplo, key=Department, value=Finance.
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
ejemplo Política de ejemplo: crear copias de seguridad únicamente de los sistemas de archivos con una etiqueta específica
Esta política permite que los usuarios creen copias de seguridad únicamente de los sistemas de archivos que estén etiquetados con el par clave-valor key=Department, value=Finance, y la copia de seguridad se creará con la etiqueta Deparment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
ejemplo Política de ejemplo: crear un sistema de archivos con una etiqueta específica a partir de copias de seguridad que tengan una etiqueta específica
Esta política permite que los usuarios creen sistemas de archivos que tengan la etiqueta Department=Finance únicamente a partir de copias de seguridad etiquetadas con Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
ejemplo Política de ejemplo: eliminar los sistemas de archivos con etiquetas específicas
Esta política permite que un usuario elimine únicamente los sistemas de archivos que estén etiquetados con Department=Finance. Si crea una copia de seguridad final, debe etiquetarla con Department=Finance. Para los sistemas de archivos FSx para Lustre, los usuarios necesitan el privilegio fsx:CreateBackup para crear la copia de seguridad final.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
ejemplo Ejemplo de política: crear tareas de repositorio de datos en sistemas de archivos con una etiqueta específica
Esta política permite a los usuarios crear tareas de repositorio de datos etiquetadas con Department=Finance, y solo en sistemas de archivos etiquetados con Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:task/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
