Amazon でのタグの使用 FSx - ONTAP に関する FSx

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon でのタグの使用 FSx

タグを使用して Amazon FSxリソースへのアクセスを制御し、属性ベースのアクセスコントロール () を実装できますABAC。作成時に Amazon FSxリソースにタグを適用するには、ユーザーに特定の AWS Identity and Access Management (IAM) アクセス許可が必要です。

リソース作成時にタグ付けするアクセス許可の付与

一部のリソース作成 Amazon FSxAPIアクションでは、リソースの作成時にタグを指定できます。これらのリソースタグを使用して、属性ベースのアクセスコントロール () を実装できますABAC。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

ユーザーがリソースの作成時にタグを付けるには、リソースを作成するアクション (fsx:CreateFileSystemfsx:CreateStorageVirtualMachinefsx:CreateVolume など) を使用するためのアクセス許可が必要です。リソース作成アクションでタグが指定されている場合、 はfsx:TagResourceアクションに対して追加の認証IAMを実行して、ユーザーがタグを作成するアクセス許可を持っているかどうかを確認します。したがって、ユーザーは fsx:TagResource アクションを使用するための明示的な許可も持っている必要があります。

次のポリシー例では、ユーザーがファイルシステムとストレージ仮想マシン (SVMs) を作成し、特定の での作成時にタグを適用することを許可します AWS アカウント。

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }

同様に、次のポリシーでは、ユーザーが特定のファイルシステム上でバックアップを作成し、バックアップ作成時にバックアップにタグを適用することができます。

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }

fsx:TagResource アクションは、タグがリソース作成アクション時に適用された場合のみ評価されます。したがって、リクエストでタグが指定されていない場合、リソースを作成するアクセス許可を持つユーザー (タグ付け条件がないと仮定) には、fsx:TagResource アクションを実行するアクセス許可は必要ありません。ただし、ユーザーがタグ付きリソースを作成しようとした場合、ユーザーが fsx:TagResource アクションを使用するアクセス許可を持っていない場合はリクエストに失敗します。

Amazon FSxリソースのタグ付けの詳細については、「」を参照してくださいAmazon FSxリソースのタグ付け。タグを使用して Amazon FSxリソースへのアクセスを制御する方法の詳細については、「」を参照してくださいタグを使用して Amazon FSxリソースへのアクセスを制御する

タグを使用して Amazon FSxリソースへのアクセスを制御する

Amazon FSxリソースとアクションへのアクセスを制御するには、タグに基づいてIAMポリシーを使用できます。コントロールは 2 つの方法で可能です。

  • Amazon FSxリソースへのアクセスは、それらのリソースのタグに基づいて制御できます。

  • IAM リクエスト条件で渡すことができるタグを制御できます。

タグを使用して AWS リソースへのアクセスを制御する方法については、 ユーザーガイドの「タグを使用したアクセスの制御IAM」を参照してください。作成時の Amazon FSxリソースのタグ付けの詳細については、「」を参照してくださいリソース作成時にタグ付けするアクセス許可の付与。リソースのタグ付けの詳細については、「Amazon FSxリソースのタグ付け」を参照してください

リソースのタグに基づいてアクセスのコントロール

ユーザーまたはロールが Amazon FSxリソースに対して実行できるアクションを制御するには、リソースのタグを使用できます。例えば、リソースのタグのキーと値のペアに基づいて、ファイルシステムリソースに対する特定のAPIオペレーションを許可または拒否できます。

例 ポリシーの例 - 特定のタグが使用されている場合にのみファイルシステムを作成する

このポリシーにより、ユーザーは、特定のタグとキーと値のペア (この例では、key=Departmentvalue=Finance) でタグ付けした場合にのみ、ファイルシステムを作成できます。

{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
例 ポリシーの例 — 特定のタグを持つボリュームFSxに対して NetApp ONTAP Amazon のバックアップのみを作成する

このポリシーでは、ユーザーはキーと値のペア key=Department、 でタグ付けされたONTAPボリュームFSxに対してのみ のバックアップを作成できますvalue=Finance。バックアップは、タグ Department=Finance 付きで作成されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
例 ポリシーの例 - 特定のタグを持つバックアップから、特定のタグを持つボリュームを作成します。

このポリシーによりユーザーは Department=Finance タグが付けられているバックアップから Department=Finance でタグ付けされたボリュームのみを作成できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
例 ポリシーの例 - 特定のタグを持つファイルシステムの削除

このポリシーにより、ユーザーは Department=Finance でタグ付けされたファイルシステムのみを削除できます。最終バックアップを作成する場合は、それは Department=Finance でタグ付けされる必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
例 ポリシーの例 - 特定のタグを持つボリュームの削除

このポリシーにより、ユーザーは Department=Finance でタグ付けされたボリュームのみを削除できます。最終バックアップを作成する場合は、それは Department=Finance でタグ付けされる必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }