Tag di risorse durante la creazione Controllo degli accessi tramite Controllo degli accessi tramite tag

Utilizzo dei tag con Amazon EFS

È possibile utilizzare tag per controllare l'accesso alle risorse Amazon EFAC per implementare il controllo di accesso basato sugli attribute-based access control. Per ulteriori informazioni, consultare:

Etichettare le risorse EFS
Controllo degli accessi in base ai tag delle risorse
AWS? nella Guida per l'utente IAM

Nota

La replica Amazon EFAC non supporta l'utilizzo di tag per il controllo degli accessi basato su attribute-based access control.

Per applicare i tag alle risorse Amazon EFS durante la creazione, gli utenti devono disporre di determinate autorizzazioniAWS Identity and Access Management (IAM).

Concessione delle autorizzazioni per taggare le risorse durante la creazione

Le seguenti operazioni API Amazon EFS ti consentono di specificare tag quando crei le risorse.

CreateAccessPoint
CreateFileSystem

Per consentire agli utenti di applicare tag alle risorse durante la creazione, essi devono disporre delle autorizzazioni per utilizzare l'operazione che crea le risorse, comeelasticfilesystem:CreateAccessPoint oelasticfilesystem:CreateFileSystem. Se i tag vengono specificati nell'azione di creazione delle risorse,AWS esegue autorizzazioni aggiuntive per l'elasticfilesystem:TagResourceazione per verificare se gli utenti dispongono delle autorizzazioni per creare tag. Pertanto, gli utenti devono disporre anche delle autorizzazioni esplicite per utilizzare l'operazione elasticfilesystem:TagResource.

Nella definizione della policy IAM per l'operazione elasticfilesystem:TagResource, utilizzare l'elemento Condition con la chiave di condizione elasticfilesystem:CreateAction per assegnare autorizzazioni di tagging all'operazione che crea la risorsa.

Esempio policy: consente l'aggiunta di tag ai file system solo al momento della creazione

La seguente policy di esempio consente agli utenti di creare file system e contrassegnare tag ai file system e contrassegnare con tag i file system. Gli utenti non sono autorizzati ad applicare tag alle risorse esistenti (non possono chiamare l'operazione elasticfilesystem:TagResource direttamente).


{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}

Utilizzo dei tag per controllare l'accesso alle risorse Amazon EFS

Per controllare l'accesso alle risorse e alle azioni di Amazon EFS, puoi utilizzare le policy IAM basate sui tag. Puoi fornire questo controllo in due modi:

Puoi controllare l'accesso alle risorse Amazon EFS in base ai tag delle risorse.
È possibile controllare quali tag possono essere passati in una condizione di richiesta IAM.

Per informazioni su come utilizzare i tag per controllare l'accesso alleAWS risorse, consulta Controllare l'accesso tramite tag nella Guida per l'utente IAM.

Controllo degli accessi in base ai tag delle risorse

Per controllare quali azioni un utente o un ruolo può eseguire su una risorsa Amazon EFS, puoi utilizzare i tag sulla risorsa. Ad esempio, potresti voler consentire o negare operazioni API specifiche su una risorsa del file system in base alla coppia chiave-valore del tag sulla risorsa.

Esempio policy: crea un file system solo quando viene utilizzato un tag specifico

La seguente politica di esempio consente all'utente di creare un file system solo quando lo tagga con una coppia chiave-valore di tag specifica, in questo esempiokey=Department,value=Finance.


{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}

Esempio politica: eliminare i file system con tag specifici

La seguente policy di esempio consente all'utente di cancellare solo i file system con tagDepartment=Finance.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS politiche gestite

Utilizzo di ruoli collegati ai servizi per Amazon EFS