Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utiliser des tags avec Amazon FSx
Vous pouvez utiliser des balises pour contrôler l'accès aux FSx ressources Amazon et pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour appliquer des balises aux FSx ressources Amazon lors de la création, les utilisateurs doivent disposer de certaines autorisations AWS Identity and Access Management (IAM).
Accorder l’autorisation de baliser les ressources lors de la création
Avec certaines actions d' FSx API Amazon qui créent des ressources, vous pouvez spécifier des balises lors de la création de la ressource. Vous pouvez utiliser ces balises de ressources pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Pour que les utilisateurs puissent étiqueter les ressources lors de leur création, ils doivent être autorisés à utiliser l'action qui crée la ressourcefsx:CreateFileSystem, telle quefsx:CreateStorageVirtualMachine, oufsx:CreateVolume. Si des balises sont spécifiées dans l'action de création de ressources, IAM octroie une autorisation supplémentaire à l'fsx:TagResourceaction afin de vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d’utiliser l’action fsx:TagResource.
L'exemple de politique suivant permet aux utilisateurs de créer des systèmes de fichiers et des machines virtuelles de stockage (SVMs) et de leur appliquer des balises lors de leur création dans un environnement spécifique Compte AWS.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }
De même, la politique suivante permet aux utilisateurs de créer des sauvegardes sur un système de fichiers spécifique et d'appliquer des balises à la sauvegarde lors de la création de la sauvegarde.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
L'fsx:TagResourceaction est évaluée uniquement si des balises sont appliquées lors de l'action de création de ressources. Par conséquent, un utilisateur autorisé à créer une ressource (en supposant qu'il n'existe aucune condition de balisage) n'a pas besoin d'autorisation pour utiliser l'fsx:TagResourceaction si aucune balise n'est spécifiée dans la demande. Toutefois, si l’utilisateur essaie de créer une ressource avec des balises, la demande échoue s’il n’a pas les autorisations d’utiliser l’action fsx:TagResource.
Pour plus d'informations sur le balisage des FSx ressources Amazon, consultezMarquer les ressources Amazon FSx . Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès aux FSx ressources Amazon, consultezUtilisation de balises pour contrôler l'accès à vos FSx ressources Amazon.
Utilisation de balises pour contrôler l'accès à vos FSx ressources Amazon
Pour contrôler l'accès aux FSx ressources et aux actions Amazon, vous pouvez utiliser des politiques IAM basées sur des balises. Vous pouvez fournir le contrôle de deux manières :
-
Vous pouvez contrôler l'accès aux FSx ressources Amazon en fonction des balises associées à ces ressources.
-
Vous pouvez contrôler les balises qui peuvent être transmises dans une condition de demande IAM.
Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès aux AWS ressources, consultez la section Contrôle de l'accès à l'aide de balises dans le guide de l'utilisateur IAM. Pour plus d'informations sur le balisage des FSx ressources Amazon lors de leur création, consultezAccorder l’autorisation de baliser les ressources lors de la création. Pour plus d’informations sur le balisage des ressources, consultez Marquer les ressources Amazon FSx .
Contrôle de l’accès en fonction des balises sur une ressource
Pour contrôler les actions qu'un utilisateur ou un rôle peut effectuer sur une FSx ressource Amazon, vous pouvez utiliser des balises sur la ressource. Par exemple, vous pouvez autoriser ou refuser des opérations d’API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.
Exemple de politique — Création d'un système de fichiers uniquement lorsqu'une balise spécifique est utilisée
Cette politique permet à l'utilisateur de créer un système de fichiers uniquement lorsqu'il le balise avec une paire clé-valeur spécifique, dans cet exemple,,key=Department. value=Finance
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
Exemple de politique — Création de sauvegardes uniquement d'Amazon FSx pour les volumes NetApp ONTAP dotés d'une balise spécifique
Cette politique permet aux utilisateurs de créer des sauvegardes uniquement FSx pour les volumes ONTAP marqués avec la paire clé-valeur,. key=Department value=Finance La sauvegarde est créée avec le tagDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Exemple de politique — Création d'un volume avec une balise spécifique à partir de sauvegardes dotées d'une balise spécifique
Cette politique permet aux utilisateurs de créer des volumes étiquetés avec Department=Finance uniquement à partir de sauvegardes étiquetées avecDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
Exemple de politique — Supprimer des systèmes de fichiers dotés de balises spécifiques
Cette politique permet à un utilisateur de supprimer uniquement les systèmes de fichiers marqués avecDepartment=Finance. S'ils créent une sauvegarde finale, elle doit être étiquetée avecDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Exemple de politique — Supprimer un volume avec des balises spécifiques
Cette politique permet à un utilisateur de supprimer uniquement les volumes marqués avecDepartment=Finance. S'ils créent une sauvegarde finale, elle doit être étiquetée avecDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
