Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo dei tag con Amazon FSx
Puoi utilizzare i tag per controllare l'accesso alle risorse di Amazon FSx e implementare il controllo controllo accesso basato su attributi (ABAC). Per applicare i tag alle risorse Amazon FSx durante la creazione, gli utenti devono disporre di determinate autorizzazioniAWS Identity and Access Management (IAM).
Concessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione
Con alcune azioni API Amazon FSx for Lustre, puoi anche specificare i tag quando crei la risorsa. È possibile utilizzare questi tag delle accessi tramite tag. Per ulteriori informazioni, consulta Che cos'è ABAC perAWS? nella Guida per l'utente IAM.
Affinché gli utenti possano applicare alle risorse al momento della creazione, essi devono disporre delle autorizzazioni per utilizzare l'operazione che crea la risorsa, comefsx:CreateFileSystem. Se i tag vengono specificati nell'azione di creazione delle risorse, IAM esegue autorizzazioni aggiuntive per l'fsx:TagResourceazione per verificare se gli utenti dispongono delle autorizzazioni per la creazione di tag. Pertanto, gli utenti devono disporre anche delle autorizzazioni esplicite per utilizzare l'operazione fsx:TagResource.
La seguente politica di esempio consente agli utenti di creare file system e applicare loro tag durante la creazione in uno specificoAccount AWS.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*" ] } ] }
In modo analogo, la seguente policy consente agli utenti di creare backup su un file system specifico e applicare i tag al backup durante la creazione del backup.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
L'fsx:TagResourceazione viene valutata solo se i tag vengono applicati durante l'azione di creazione delle risorse. Pertanto, un utente con le autorizzazioni per la creazione di una risorsa (presupponendo che non siano presenti condizioni di tagging) non necessità dellefsx:TagResource autorizzazioni per utilizzare l'operazione se nella richiesta non viene specificato alcun tag. Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta ha esito negativo se non dispone delle autorizzazioni per utilizzare l'operazione fsx:TagResource.
Per ulteriori informazioni sul tagging delle risorse di Amazon FSx, consultaAggiungi tag alle tue risorse Amazon FSx for Lustre. Per ulteriori informazioni sull'utilizzo dei accessi alle risorse di Amazon FSx for Lustre, consultaUtilizzo dei accessi alle risorse di Amazon FSx.
Utilizzo dei accessi alle risorse di Amazon FSx
Per controllare l'accesso alle risorse e alle azioni di Amazon FSx, puoi utilizzare le policy IAM basate sui tag. Puoi fornire questo controllo in due modi:
-
Controllo accessi a accessi alle risorse di Amazon FSx in base ai tag delle accessi alle risorse.
-
Controllo delle accessazioni IAM.
Per informazioni su come utilizzare i tag per controllare l'accesso alleAWS risorse, consulta Controllare l'accesso tramite tag nella Guida per l'utente IAM. Per ulteriori informazioni sul tagging delle risorse di Amazon FSx, consultaConcessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione. Per ulteriori informazioni sul tagging delle risorse, consultaAggiungi tag alle tue risorse Amazon FSx for Lustre.
Controllo Controllo Controllo controllo accessaccessaccessaccessaccessaccessi tramite tag
Per controllare quali azioni un utente o un ruolo può eseguire su una risorsa Amazon FSx, puoi utilizzare i tag sulla risorsa. Ad esempio, potresti voler consentire o negare operazioni API specifiche su una risorsa del file system in base alla coppia chiave-valore del tag sulla risorsa.
Esempio Politica di esempio: crea un file system quando si fornisce un tag specifico
Questa politica consente all'utente di creare un file system solo quando lo tagga con una coppia chiave e valore di tag specifica, in questo esempiokey=Department, value=Finance.
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
Esempio Politica di esempio: crea backup solo su file system con un tag specifico
Questa politica consente agli utenti di creare backup solo su file system contrassegnati con la coppiakey=Department, value=Finance di valori chiave e il backup verrà creato con il tagDeparment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Esempio Politica di esempio: crea un file system con un tag specifico dai backup con un tag specifico
Questa politica consente agli utenti di creare file system contrassegnatiDepartment=Finance solo dai backup con tagDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
Esempio Politica di esempio: eliminare i file system con tag specifici
Questa policy consente all'utente di cancellare solo i file system conDepartment=Finance. Se creano un backup finale, è necessario contrassegnarlo conDepartment=Finance. Per i file system Lustre, gli utenti devono avere ilfsx:CreateBackup privilegio di creare il backup finale.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Esempio Politica di esempio: creazione di attività di repository di dati su file system con tag specifici
Questa politica consente agli utenti di creare attività di repository di dati contrassegnate conDepartment=Finance e solo sui file system contrassegnati conDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:task/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
