Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengunakan tanda dengan Amazon FSx
Anda dapat menggunakan tanda untuk mengontrol akses ke sumber daya Amazon FSx sumber daya dan menerapkan kontrol akses berbasis atribut (ABAC). Untuk menerapkan tag ke sumber daya Amazon FSx selama pembuatan, pengguna harus memiliki izinAWS Identity and Access Management (IAM) tertentu.
Memberikan izin untuk memberi tanda pada sumber daya saat sumber daya tersebut dibuat
Dengan beberapa tindakan Amazon FSx for Lustre API tindakan, Anda dapat menentukan tanda saat Anda menciptakan sumber daya. Anda dapat menggunakan tanda sumber daya ini untuk menerapkan kontrol akses berbasis atribut (ABAC). Untuk informasi lebih lanjut, lihat Untuk apa ABAC untukAWS? dalam Panduan Pengguna IAM.
Agar pengguna menandai sumber daya pada pembuatan, mereka harus memiliki izin untuk menggunakan tindakan yang membuat sumber daya, sepertifsx:CreateFileSystem. Jika tanda ditentukan dalam aksi pembuatan sumber daya, IAM melakukan otorisasi tambahan padafsx:TagResource tindakan untuk memverifikasi apakah pengguna memiliki izin untuk membuat tanda. Oleh karena itu, para pengguna juga harus memiliki izin eksplisit untuk menggunakan tindakan fsx:TagResource.
Kebijakan contoh berikut memungkinkan pengguna untuk membuat sistem file dan menerapkan tag kepada mereka selama pembuatan dalam spesifikAkun AWS.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*" ] } ] }
Demikian pula, kebijakan berikut memungkinkan pengguna membuat cadangan pada sistem file tertentu dan menerapkan tag apa pun pada cadangan selama pembuatan cadangan.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
fsx:TagResourceTindakan akan dievaluasi hanya jika tanda diterapkan selama tindakan penciptaan sumber daya. Oleh karena itu, pengguna yang memiliki izin untuk menciptakan sumber daya (dengan asumsi tidak ada ketentuan untuk pemberian tag) tidak memerlukan izin untuk menggunakanfsx:TagResource tindakan jika tidak ada tag yang ditentukan dalam permintaan. Akan tetapi, jika pengguna tersebut mencoba untuk membuat sumber daya dengan tanda, maka permintaan akan gagal jika pengguna tidak memiliki izin untuk menggunakan tindakan fsx:TagResource.
Untuk informasi selengkapnya tentang penandaan Amazon FSx sumber daya sumber daya, lihatTandai sumber daya Amazon FSx for Lustre Anda. Untuk informasi selengkapnya tentang menggunakan tanda untuk mengontrol akses ke sumber daya Amazon FSx for Lustre sumber daya, lihatMengunakan tanda untuk mengontrol akses ke sumber daya Amazon FSx sumber daya.
Mengunakan tanda untuk mengontrol akses ke sumber daya Amazon FSx sumber daya
Untuk mengontrol akses ke sumber daya Amazon FSx sumber daya dan tindakan, Anda dapat menggunakan kebijakan IAM berdasarkan tanda. Anda dapat memberikan kontrol ini dengan dua cara:
-
Anda dapat mengontrol akses ke sumber daya Amazon FSx sumber daya berdasarkan tag pada sumber daya tersebut.
-
Anda dapat mengontrol tag yang dapat diteruskan dalam ketentuan permintaan IAM.
Untuk informasi tentang cara menggunakan tag untuk mengontrol akses keAWS sumber daya, lihat Mengontrol akses menggunakan tag di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang penandaan Amazon FSx sumber daya pada pembuatan, lihatMemberikan izin untuk memberi tanda pada sumber daya saat sumber daya tersebut dibuat. Untuk informasi selengkapnya tentang penandaan sumber daya sumber daya, lihatTandai sumber daya Amazon FSx for Lustre Anda.
Mengontrol akses berdasarkan tanda pada sumber daya
Untuk mengontrol tindakan mana yang dapat dilakukan pengguna atau peran pada sumber daya Amazon FSx, Anda dapat menggunakan tag pada sumber daya. Misalnya, Anda mungkin ingin mengizinkan atau menolak operasi API tertentu pada sumber daya sistem file berdasarkan pasangan kunci-nilai tag pada sumber daya.
contoh Contoh kebijakan - Membuat sistem file pada saat menyediakan tag tertentu
Kebijakan ini memungkinkan pengguna untuk membuat sistem file hanya ketika mereka menandainya dengan pasangan nilai kunci tag tertentu, dalam contoh ini,key=Department, value=Finance.
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
contoh Contoh kebijakan - Buat backup hanya pada sistem file dengan tag tertentu
Kebijakan ini memungkinkan pengguna untuk membuat cadangan hanya pada sistem file yang ditandai dengan pasangan nilai kuncikey=Department, value=Finance, dan cadangan akan dibuat dengan tagDeparment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
contoh Contoh kebijakan - Membuat sistem file dengan tag tertentu dari cadangan dengan tag tertentu
Kebijakan ini memungkinkan pengguna untuk membuat sistem file yang ditandai denganDepartment=Finance hanya dari backup yang ditandai denganDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
contoh Contoh kebijakan - Hapus sistem file dengan tag tertentu
Kebijakan ini memungkinkan pengguna untuk menghapus sistem file yang diberi tag denganDepartment=Finance. Jika mereka membuat cadangan akhir, maka harus ditandai denganDepartment=Finance. Untuk sistem file Lustre, pengguna memerlukanfsx:CreateBackup hak istimewa untuk membuat cadangan akhir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
contoh Contoh kebijakan - Membuat tugas repositori data pada sistem file dengan tag tertentu
Kebijakan ini memungkinkan pengguna untuk membuat tugas repositori data yang ditandai denganDepartment=Finance, dan hanya pada sistem file yang ditandai denganDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:task/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
