Uso de etiquetas con Amazon FSx - FSx para ONTAP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de etiquetas con Amazon FSx

Puedes usar etiquetas para controlar el acceso a FSx los recursos de Amazon e implementar el control de acceso basado en atributos (ABAC). Para aplicar etiquetas a FSx los recursos de Amazon durante la creación, los usuarios deben tener determinados permisos AWS Identity and Access Management (IAM).

Conceder permisos para etiquetar recursos durante la creación

Con algunas acciones de la FSx API de Amazon que crean recursos, puedes especificar etiquetas al crear el recurso. Puede utilizar estas etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulta ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.

Para que los usuarios puedan etiquetar recursos en el momento de su creación, deben tener permiso para utilizar la acción que crea el recurso, como fsx:CreateFileSystem, fsx:CreateStorageVirtualMachine o fsx:CreateVolume. Si se especifican etiquetas en la acción de creación de recursos, IAM realiza una autorización adicional en la acción fsx:TagResource para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción fsx:TagResource.

El siguiente ejemplo de política permite a los usuarios crear sistemas de archivos y máquinas virtuales de almacenamiento (SVMs) y aplicarles etiquetas durante la creación en un lugar específico Cuenta de AWS.

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }

De la misma manera, la siguiente política permite que los usuarios creen copias de seguridad en un sistema de archivos específico, y apliquen cualquier etiqueta a la copia de seguridad durante la creación de la copia de seguridad.

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }

La acción fsx:TagResource solo se evalúa si se aplican etiquetas durante la acción de creación de recursos. Por lo tanto, un usuario que tenga permisos para crear un recurso (suponiendo que no existan condiciones de etiquetado) no necesita permiso para utilizar la acción fsx:TagResource si no se especifica ninguna etiqueta en la solicitud. Sin embargo, si el usuario intenta crear un recurso con etiquetas, la solicitud dará un error si el usuario no tiene permisos para utilizar la acción fsx:TagResource.

Para obtener más información sobre el etiquetado de FSx los recursos de Amazon, consulteEtiquetado de los recursos de Amazon FSx . Para obtener más información sobre el uso de etiquetas para controlar el acceso a FSx los recursos de Amazon, consulteUso de etiquetas para controlar el acceso a tus FSx recursos de Amazon.

Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon

Para controlar el acceso a FSx los recursos y las acciones de Amazon, puedes usar políticas de IAM basadas en etiquetas. Puede proporcionar este control de dos maneras:

  • Puedes controlar el acceso a FSx los recursos de Amazon en función de las etiquetas de esos recursos.

  • Puede controlar qué etiquetas se pueden pasar en una condición de solicitud IAM.

Para obtener información sobre cómo utilizar las etiquetas para controlar el acceso a AWS los recursos, consulte Controlar el acceso mediante etiquetas en la Guía del usuario de IAM. Para obtener más información sobre cómo etiquetar FSx los recursos de Amazon en el momento de la creación, consulteConceder permisos para etiquetar recursos durante la creación. Para obtener más información acerca del etiquetado de recursos, consulte Etiquetado de los recursos de Amazon FSx .

Control del acceso a un recurso en función de las etiquetas

Para controlar qué acciones puede realizar un usuario o un rol en un FSx recurso de Amazon, puedes usar etiquetas en el recurso. Por ejemplo, es posible que desee permitir o denegar acciones de la API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.

ejemplo Ejemplo de política: crear un sistema de archivos únicamente cuando se utiliza una etiqueta específica

Esta política permite que el usuario cree un sistema de archivos solo cuando lo etiqueta con un par clave-valor específico, en este ejemplo, key=Department, value=Finance.

{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
ejemplo Política de ejemplo: cree copias de seguridad solo de los volúmenes de Amazon FSx para NetApp ONTAP con una etiqueta específica

Esta política permite a los usuarios crear copias de seguridad únicamente de FSx los volúmenes de ONTAP etiquetados con el par clave-valor,. key=Department value=Finance La copia de seguridad se crea con la etiqueta Department=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
ejemplo Ejemplo de política: crear un volumen con una etiqueta específica a partir de copias de seguridad con una etiqueta específica

Esta política permite a los usuarios crear volúmenes etiquetados con Department=Finance únicamente a partir de copias de seguridad etiquetadas con Department=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
ejemplo Política de ejemplo: eliminar los sistemas de archivos con etiquetas específicas

Esta política permite que un usuario elimine únicamente los sistemas de archivos que estén etiquetados con Department=Finance. Si crea una copia de seguridad final, debe etiquetarla con Department=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
ejemplo Ejemplo de política: eliminar un volumen con etiquetas específicas

Esta política permite a un usuario eliminar únicamente los sistemas de archivos etiquetados con Department=Finance. Si crean una copia de seguridad final, deberá etiquetarse con Department=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }