Amazon FSx でのタグの使用
タグを使用すると、Amazon FSx リソースへのアクセスをコントロールしたり、属性ベースのアクセスコントロール (ABAC) を実装したりできます。作成中に Amazon FSx リソースにタグを適用するには、ユーザーは特定の AWS Identity and Access Management (IAM) 許可を持っている必要があります。
作成中にリソースにタグを付ける許可を付与する
リソースを作成する一部の Amazon FSx for Lustre の API アクションでは、リソースの作成時にタグを指定することができます。リソースタグを使用して、属性ベースのアクセスコントロール (ABAC) を実装できます。ABAC の詳細については、「IAM ユーザーガイド」の「ABAC の目的AWS」を参照してください。
ユーザーが作成時にタグを付けるには、fsx:CreateFileSystem などのリソースを作成するアクションを使用するためのアクセス許可が必要です。リソース作成アクションでタグが指定されている場合、IAM は fsx:TagResource アクションに対して追加の認可を実行して、ユーザーがタグを作成する認可を持っているかどうかを確認します。そのため、ユーザーには、fsx:TagResource アクションを使用する明示的なアクセス許可も必要です。
次のポリシー例では、特定の AWS アカウント でユーザーがファイルシステムを作成し、作成時にタグを適用することを許可します。
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*" ] } ] }
同様に、次のポリシーでは、ユーザーが特定のファイルシステム上でバックアップを作成し、バックアップ作成時にバックアップにタグを適用することができます。
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
fsx:TagResource アクションは、タグがリソース作成アクション時に適用された場合のみ評価されます。したがって、リクエストでタグが指定されていない場合、リソースを作成するアクセス許可を持つユーザー (タグ付け条件がないと仮定) には、fsx:TagResource アクションを実行するアクセス許可は必要ありません。ただし、ユーザーがタグ付きリソースを作成しようとした場合、ユーザーが fsx:TagResource アクションを使用するアクセス許可を持っていない場合はリクエストに失敗します。
Amazon FSx リソースのタグ付けの詳細については、「Amazon FSx for Lustre リソースのタグ付け」を参照してください。タグを使用した Amazon FSx for Lustre リソースへのアクセスコントロールの詳細については、「タグを使用した Amazon FSx リソースへのアクセスのコントロール」を参照してください。
タグを使用した Amazon FSx リソースへのアクセスのコントロール
Amazon FSx とアクションへのアクセスをコントロールするには、タグに基づいて IAM ポリシーを使用できます。コントロールは 2 つの方法で可能です。
-
それらのリソースのタグに基づいて、Amazon FSx へのアクセスをコントロールできます。
-
IAM リクエストの条件でどのタグを渡すかをコントロールできます。
AWS リソースへのアクセスをコントロールするためのタグの使用については、「IAM ユーザーガイド」の「タグを使用したアクセスのコントロール」を参照してください。作成時の Amazon FSx リソースのタグ付けの詳細については、「作成中にリソースにタグを付ける許可を付与する」を参照してください。リソースのタグ付けの詳細については、「Amazon FSx for Lustre リソースのタグ付け」を参照してください
リソースのタグに基づいてアクセスのコントロール
ユーザーまたはロールが Amazon FSx リソースで実行できるアクションをコントロールするには、リソースでタグを使用できます。例えば、リソースのタグのキーバリューのペアに基づいて、ファイルシステムリソースに対する特定の API オペレーションを許可または拒否することが必要な場合があります。
例 ポリシーの例 - 特定のタグを指定するときにファイルシステムを作成する
このポリシーにより、ユーザーは特定のタグとキーバリューのペア (この例では key=Department, value=Finance) でタグ付けした場合にのみファイルシステムを作成できます。
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
例 ポリシーの例 - 特定のタグを持つファイルシステムでのみバックアップを作成する
このポリシーにより、ユーザーはキーと値のペア key=Department, value=Finance でタグ付けされたファイルシステムでのみバックアップを作成でき、バックアップはタグ Deparment=Finance で作成されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
例 ポリシーの例 - 特定のタグを持つバックアップから特定のタグを持つファイルシステムを作成する
このポリシーにより、ユーザーは、Department=Finance でタグ付けされたバックアップからのみ Department=Finance でタグ付けされたファイルシステムを作成できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
例 ポリシーの例 - 特定のタグを持つファイルシステムの削除
このポリシーにより、ユーザーは Department=Finance でタグ付けされたファイルシステムのみを削除できます。最終バックアップを作成する場合は、それは Department=Finance でタグ付けされる必要があります。FSx for Lustre ファイルシステムの場合、ユーザーは最終バックアップを作成するために fsx:CreateBackup 特権が必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
例 ポリシーの例 - 特定のタグを持つファイルシステム上にデータリポジトリタスクを作成する
このポリシーにより、ユーザーは Department=Finance でタグ付けされたデータリポジトリタスクを作成でき、Department=Finance でタグ付けされたファイルシステムでのみ作成できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:task/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
