Amazon FSx でタグを使う - Amazon FSx for Windows File Server
作成中にリソースにタグを付けるタグを使用したアクセス制御

Amazon FSx でタグを使う

タグを使用すると、Amazon FSx リソースへのアクセスを制御したり、属性ベースのアクセスコントロール (ABAC) を実装したりできます。ユーザーは、作成時に Amazon FSx リソースにタグを適用する権限を持っている必要があります。

リソース作成時にタグ付けするアクセス許可の付与

一部のリソース作成 Amazon FSx API アクションでは、リソースの作成時にタグを指定できます。リソースタグを使用して、属性ベースのアクセスコントロール (ABAC) を実装できます。詳細については、「IAM ユーザーガイド」の「AWS の ABAC とは」を参照してください。

ユーザーが作成時にリソースにタグを付けることができるようにするには、fsx:CreateFileSystemfsx:CreateBackup などのリソースを作成するアクションを使用するためのアクセス許可が必要です。タグがリソース作成アクションで指定されている場合、Amazon は fsx:TagResource アクションで追加の認可を実行してユーザーがタグを作成するアクセス許可を持っているかどうかを確認します。そのため、ユーザーには、fsx:TagResource アクションを使用する明示的なアクセス許可が必要です。

次の例は、特定の AWS アカウント での作成中に、ユーザーがファイルシステムを作成し、ファイルシステムにタグを適用できるようにするポリシーを示しています。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateFileSystem",
         "fsx:TagResource"         
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/*"
    }
  ]
}

同様に、次のポリシーにより、ユーザーは特定のファイルシステムにバックアップを作成し、バックアップの作成中に任意のタグをバックアップに適用できます。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateBackup"
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:region:account-id:backup/*"
    }
  ]
}

fsx:TagResource アクションは、リソース作成アクション中にタグが適用された場合にのみ評価されます。したがって、リクエストでタグが指定されていない場合、リソースを作成するアクセス許可を持っているユーザー (タグ付け条件がないと仮定) には、fsx:TagResource アクションを実行するアクセス許可は必要ありません。ただし、ユーザーがタグを使用してリソースを作成しようとした場合、ユーザーが fsx:TagResource アクションを使用するアクセス許可を持っていない場合はリクエストに失敗します。

Amazon FSx リソースのタグ付けの詳細については、Amazon FSx リソースのタグ付け を参照してください。タグを使用して FSx リソースへのアクセスをコントロールするためには「タグを使用した Amazon FSx リソースへのアクセスのコントロール」を参照してください。

タグを使用した Amazon FSx リソースへのアクセスのコントロール

Amazon FSx とアクションへのアクセスをコントロールするには、タグに基づいて AWS Identity and Access Management (IAM) ポリシーを使用できます。コントロールは 2 つの方法で提供できます。

  1. それらのリソースのタグに基づいて、Amazon FSx へのアクセスをコントロールします。

  2. IAM リクエストの条件でどのタグを渡せるかをコントロールする。

AWS リソースへのアクセスをコントロールするためのタグの使用についての詳細は、「IAM ユーザーガイド」の「タグを使用したアクセスのコントロール」を参照してください。作成時の Amazon FSx リソースのタグ付けの詳細については、「リソース作成時にタグ付けするアクセス許可の付与」を参照してください。リソースのタグ付けの詳細については、「Amazon FSx リソースのタグ付け」を参照してください

リソースのタグに基づいてアクセスのコントロール

ユーザーまたはロールが Amazon FSx リソースで実行できるアクションをコントロールするには、リソースでタグを使用できます。例えば、リソースのタグのキーバリューのペアに基づいて、ファイルシステムリソースに対する特定の API オペレーションを許可または拒否することが必要な場合があります。

例 ポリシー - 特定のタグを指定するときにファイルシステムを作成する

このポリシーにより、ユーザーは特定のタグとキーバリューのペア (この例では key=Department, value=Finance) でタグ付けした場合にのみファイルシステムを作成できます。

{
    "Effect": "Allow",
    "Action": [
        "fsx:CreateFileSystem",
        "fsx:TagResource"
    ],
    "Resource": "arn:aws:fsx:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
例 ポリシー - 特定のタグを持つ Amazon FSx ファイルシステムのみでバックアップを作成する

このポリシーにより、ユーザーはキーと値のペア key=Department, value=Finance でタグ付けされたファイルシステムのみでバックアップを作成でき、バックアップはタグ Deparment=Finance で作成されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource",
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
     
    ]
}
例 ポリシー - 特定のタグを持つバックアップから特定のタグを持つファイルシステムを作成する

このポリシーにより、ユーザーは、Department=Finance でタグ付けされたバックアップからのみ Department=Finance でタグ付けされたファイルシステムを作成できます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
例 ポリシー - 特定のタグを持つファイルシステムを削除する

このポリシーにより、ユーザーは Department=Finance でタグ付けされたファイルシステムのみを削除できます。最終バックアップを作成する場合は、Department=Finance でタグ付けする必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:DeleteFileSystem"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}