Utilisation des balises avec Amazon EFS

Mode de mise au point

Utilisation des balises avec Amazon EFS - Amazon Elastic File System

Baliser des ressources pendant la création Contrôle d’accès à l’aide d’étiquettes Contrôler l’accès à l’aide de balises

Vous pouvez utiliser des balises pour contrôler l’accès aux ressources Amazon EFS et pour implémenter le contrôle d’accès basé sur les attributs (ABAC). Pour plus d'informations, consultez :

Marquage des ressources EFS
Contrôle de l’accès en fonction des balises sur une ressource
À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM

Note

La réplication EFS ne prend pas en charge l’utilisation de balises pour le Contrôle d’accès par attributs (ABAC).

Pour appliquer des balises aux ressources Amazon EFS lors de leur création, les utilisateurs doivent disposer de certaines autorisations (IAM) AWS Identity and Access Management .

Octroi de les autorisations de baliser les ressources lors de la création

Les actions de balisage lors de la création d’API Amazon EFS suivantes vous permettent de spécifier des balises lorsque vous créez la ressource.

CreateAccessPoint
CreateFileSystem

Pour permettre aux utilisateurs d’attribuer des balises aux ressources au moment de la création, ils doivent avoir les autorisations d’utiliser l’action qui crée les ressources (par exemple, elasticfilesystem:CreateAccessPoint ou elasticfilesystem:CreateFileSystem). Si des balises sont spécifiées dans l'action de création de ressources, octroie AWS une autorisation supplémentaire à l'elasticfilesystem:TagResourceaction pour vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d’utiliser l’action elasticfilesystem:TagResource.

Dans la définition de stratégie IAM de l’action elasticfilesystem:TagResource, utilisez l’élément Condition avec la clé de condition elasticfilesystem:CreateAction pour accorder des autorisations de balisage à l’action qui crée la ressource.

Exemple stratégie : autoriser l’ajout de balises aux systèmes de fichiers uniquement lors de la création

L’exemple de stratégie suivant permet aux utilisateurs de créer des systèmes de fichiers et appliquer des balises aux lors de la création. Les utilisateurs ne sont pas autorisés à attribuer des balises aux ressources existantes (ils ne peuvent pas appeler l’action elasticfilesystem:TagResource directement).


{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}

Utiliser des balises pour contrôler l’accès à vos ressources Amazon EFS

Pour contrôler l’accès aux ressources et actions Amazon EFS, vous pouvez utiliser des politiques IAM basées sur des balises. Vous pouvez fournir le contrôle de deux manières :

Vous pouvez contrôler l’accès aux ressources Amazon EFS en fonction des balises de ces ressources.
Vous pouvez contrôler les balises qui peuvent être transmises dans une condition de demande IAM.

Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès aux AWS ressources, consultez la section Contrôle de l'accès à l'aide de balises dans le guide de l'utilisateur IAM.

Contrôle de l’accès en fonction des balises sur une ressource

Les balises permettent de contrôler les actions qu’un utilisateur ou un rôle peut effectuer sur une ressource Amazon EFS. Par exemple, vous pouvez autoriser ou refuser des opérations d’API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.

Exemple politique : créer un système de fichiers uniquement lorsqu’une balise spécifique est utilisée

L’exemple de politique suivant permet à l’utilisateur de créer un système de fichiers uniquement s’il le balise avec une paire clé-valeur de balise spécifique, dans cet exemple,,key=Department. value=Finance


{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}

Exemple politique : Supprimer les systèmes de fichiers dotés de balises spécifiques

L’exemple de stratégie suivant permet à un utilisateur de supprimer uniquement les systèmes de fichiers marqués avec Department=Finance.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.