Utilisation de balises avec Amazon FSx - FSxpour Lustre
Baliser des ressources pendant la créationContrôle d'accès à l'aide d'identifications

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de balises avec Amazon FSx

Vous pouvez utiliser des balises pour contrôler l'accès aux ressources Amazon FSx et implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour appliquer des balises aux ressources Amazon FSx lors de leur création, les utilisateurs doivent disposer de certaines autorisationsAWS Identity and Access Management (IAM).

Accorder l'autorisation de baliser les ressources lors de la création

Certaines actions d'API Amazon FSx for Lustre de création de ressources vous permettent de spécifier des balises lorsque vous créez la ressource. Vous pouvez utiliser ces balises de ressource pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, consultez Présentation d'ABAC pourAWS. dans le guide de l'utilisateur IAM.

Pour que les utilisateurs puissent attribuer des balises aux ressources au moment de la création, ils doivent avoir les autorisations d'utiliser l'action qui crée la ressource (par exemplefsx:CreateFileSystem, Si les balises sont spécifiées dans l'action de création de ressources, IAM effectue une autorisation supplémentaire sur l'fsx:TagResourceaction pour vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d'utiliser l'action fsx:TagResource.

L'exemple de politique suivant permet aux utilisateurs de créer des systèmes de fichiers et de leur appliquer des balises lors de la création dans un environnement spécifiqueCompte AWS.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateFileSystem",
         "fsx:TagResource"       
      ],
      "Resource": [
         "arn:aws:fsx:region:account-id:file-system/*"
      ]
    }
  ]
}

De même, la politique suivante permet aux utilisateurs de créer des sauvegardes sur un système de fichiers spécifique et appliquer des balises à la sauvegarde pendant la création de sauvegarde.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateBackup"
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:region:account-id:backup/*"
    }
  ]
}

L'fsx:TagResourceaction est uniquement évaluée si les balises sont appliquées pendant l'action de création de ressources. Par conséquent, un utilisateur qui est autorisé à créer une ressource (en supposant qu'il n'existe aucune condition de balisage) n'a pas besoin des autorisations d'utiliser l'fsx:TagResourceaction si aucune balise n'est spécifié dans la demande. Toutefois, si l'utilisateur essaie de créer une ressource avec des balises, la demande échoue s'il n'a pas les autorisations d'utiliser l'action fsx:TagResource.

Pour plus d'informations sur l'étiquetage des ressources Amazon FSx, consultezÉtiquetez vos ressources Amazon FSx for Lustre. Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès aux ressources Amazon FSx for Lustre, consultezUtilisation de balises pour contrôler l'accès à vos ressources Amazon FSx.

Utilisation de balises pour contrôler l'accès à vos ressources Amazon FSx

Pour contrôler l'accès aux ressources et aux actions Amazon FSx, vous pouvez utiliser des politiques IAM basées sur des balises. Vous pouvez fournir ce contrôle de deux façons :

  • Vous pouvez contrôler l'accès aux ressources Amazon FSx en fonction des balises de ces ressources.

  • Vous pouvez contrôler quelles balises peuvent être transmises dans une condition de demande IAM.

Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès auxAWS ressources, consultez la section Contrôle de l'accès à l'aide de balises dans le Guide de l'utilisateur IAM. Pour plus d'informations sur l'étiquetage des ressources Amazon FSx au moment de la création, consultezAccorder l'autorisation de baliser les ressources lors de la création. Pour plus d'informations sur le balisage des ressources, consultezÉtiquetez vos ressources Amazon FSx for Lustre.

Contrôle de l'accès basé sur les balises d'une ressource

Pour contrôler les actions qu'un utilisateur ou un rôle peut effectuer sur une ressource Amazon FSx, vous pouvez utiliser des balises sur la ressource. Par exemple, vous souhaiterez peut-être autoriser ou refuser des opérations d'API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.

Exemple de politique — Création d'un système de fichiers activé lors de la fourniture d'une balise spécifique

Cette politique permet à l'utilisateur de créer un système de fichiers uniquement lorsqu'il le balise avec une paire clé-valeur de balise spécifique, dans cet exemplekey=Department, value=Finance.

{
    "Effect": "Allow",
    "Action": [
        "fsx:CreateFileSystem",
        "fsx:TagResource"
    ],
    "Resource": "arn:aws:fsx:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
Exemple de politique : créer des sauvegardes uniquement sur les systèmes de fichiers dotés d'une balise spécifique

Cette politique permet aux utilisateurs de créer des sauvegardes uniquement sur les systèmes de fichiers qui sont balisés avec la pairekey=Department, value=Finance clé-valeur, et la sauvegarde sera créée avec cette baliseDeparment=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource",
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
     
    ]
}
Exemple de politique — Création d'un système de fichiers avec une balise spécifique à partir de sauvegardes avec une balise spécifique

Cette politique permet aux utilisateurs de créer des systèmes de fichiers balisésDepartment=Finance uniquement à partir de sauvegardes baliséesDepartment=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
Exemple de politique — Supprimer les systèmes de fichiers avec des balises spécifiques

Cette politique permet à un utilisateur de supprimer uniquement les systèmes de fichiers qui sont balisésDepartment=Finance. S'ils créent une sauvegarde finale, celle-ci doit être étiquetée avecDepartment=Finance. Pour les systèmes de fichiers Lustre, les utilisateurs doivent avoir lefsx:CreateBackup privilège de créer la sauvegarde finale.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:DeleteFileSystem"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}
Exemple de politique — Création de tâches de référentiel de données sur des systèmes de fichiers avec une balise spécifique

Cette politique permet aux utilisateurs de créer des tâches de référentiel de données baliséesDepartment=Finance, et uniquement sur des systèmes de fichiers balisés avecDepartment=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateDataRepositoryTask"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateDataRepositoryTask",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:task/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}