Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
È possibile utilizzare i tag per controllare l'accesso alle risorse Amazon EFS e per implementare il controllo degli accessi basato su attributi (ABAC). Per ulteriori informazioni, consultare:
A cosa serve ABAC? AWS nella Guida per l'utente di IAM
Nota
La replica Amazon EFS non supporta l'uso dei tag per il controllo degli accessi basato su attributi (ABAC).
Per applicare tag alle risorse Amazon EFS durante la creazione, gli utenti devono disporre di determinate autorizzazioni AWS Identity and Access Management (IAM).
Concessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione
Le seguenti operazioni API di Amazon EFS per l'assegnazione di tag al momento della creazione consentono di specificare tag quando crei la risorsa.
-
CreateAccessPoint -
CreateFileSystem
Per consentire agli utenti di applicare tag alle risorse durante la creazione, essi devono disporre delle autorizzazioni per utilizzare l'operazione che crea la risorsa, come elasticfilesystem:CreateAccessPoint o elasticfilesystem:CreateFileSystem. Se i tag sono specificati nell'azione di creazione della risorsa, AWS esegue un'autorizzazione aggiuntiva sull'elasticfilesystem:TagResourceazione per verificare se gli utenti sono autorizzati a creare tag. Pertanto, gli utenti devono disporre anche delle autorizzazioni esplicite per utilizzare l'operazione elasticfilesystem:TagResource.
Nella definizione della policy IAM per l'operazione elasticfilesystem:TagResource, utilizzare l'elemento Condition con la chiave di condizione elasticfilesystem:CreateAction per assegnare autorizzazioni di tagging all'operazione che crea la risorsa.
Esempio Policy: consente l'aggiunta di tag ai file system solo al momento della creazione
La seguente policy di esempio consente agli utenti di creare file system e contrassegnare con tag solo durante la creazione. Gli utenti non sono autorizzati ad applicare tag alle risorse esistenti (non possono chiamare l'operazione elasticfilesystem:TagResource direttamente).
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateFileSystem"
],
"Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
},
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:TagResource"
],
"Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"elasticfilesystem:CreateAction": "CreateFileSystem"
}
}
}
]
}Utilizzo dei tag per controllare l'accesso alle risorse di Amazon EFS
Per controllare l'accesso alle operazioni e risorse di gateway, è possibile utilizzare le policy IAM basate su tag. È possibile fornire il controllo in due modi:
-
È possibile controllare l'accesso alle risorse Amazon EFS in base ai tag su queste risorse.
-
Puoi controllare quali tag possono essere trasferiti in una condizione di richiesta IAM.
Per informazioni su come utilizzare i tag per controllare l'accesso alle AWS risorse, consulta Controlling access using tags nella IAM User Guide.
Controllo dell'accesso in base ai tag di una risorsa
Per controllare le operazioni che un utente o un ruolo può eseguire su una risorsa di Amazon EFS, è possibile usare i tag sulla risorsa. Ad esempio, è possibile consentire o negare operazioni API specifiche su una risorsa di gateway di file in base alla coppia chiave-valore del tag sulla risorsa.
Esempio Policy: crea un file system solo quando viene utilizzato un tag specifico
La seguente policy di esempio consente all'utente di creare un file system solo quando lo contrassegna con una coppia chiave-valore di tag specifica, in questo esempio key=Department, value=Finance.
{ "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:TagResource" ], "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
Esempio Policy: elimina i file system con tag specifici
La seguente policy di esempio consente a un utente di eliminare solo i file system con tag Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:DeleteFileSystem" ], "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
