Como usar tags com o Amazon FSx
É possível usar tags para controlar o acesso aos recursos do Amazon FSx e implementar o controle de acesso por atributo (ABAC). Para aplicar tags aos recursos do Amazon FSx durante a criação, os usuários devem ter determinadas permissões do AWS Identity and Access Management (IAM).
Conceder permissão para marcar recursos durante a criação
Com algumas ações de criação de recurso da API do Amazon FSx para Lustre, você poderá especificar tags quando criar o recurso. É possível usar essas tags de recurso para implementar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
Para que os usuários marquem recursos na criação, eles devem ter permissão para usar a ação que cria o recurso, como fsx:CreateFileSystem. Se tags forem especificadas na ação de criação do recurso, o IAM executará autorização adicional na ação fsx:TagResource para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação fsx:TagResource.
O exemplo de política a seguir permite que os usuários criem sistemas de arquivos e apliquem tags a eles durante a criação em uma Conta da AWS específica.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*" ] } ] }
Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
A ação fsx:TagResource só será avaliada se as tags forem aplicadas durante a ação de criação do recurso. Portanto, um usuário que tiver permissões para criar um recurso (supondo que não existam condições de tag) não precisará de permissão para usar a ação fsx:TagResource se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação fsx:TagResource.
Para obter mais informações sobre como marcar recursos do Amazon FSx, consulte Marcar seus recursos do Amazon FSx para Lustre. Para obter mais informações sobre como usar tags para controlar o acesso aos recursos do Amazon FSx para Lustre, consulte Como usar tags para controlar o acesso aos seus recursos do Amazon FSx.
Como usar tags para controlar o acesso aos seus recursos do Amazon FSx
Para controlar o acesso a recursos e ações do Amazon FSx, você pode usar políticas do IAM baseadas em tags. É possível conceder o controle de duas formas:
-
Você pode controlar o acesso aos recursos do Amazon FSx com base nas tags desses recursos.
-
Controle quais tags podem ser transmitidas em uma condição de solicitação do IAM.
Para obter informações sobre como usar tags para controlar o acesso aos recursos da AWS, consulte Controle de acesso usando tags no Guia do usuário do IAM. Para obter mais informações sobre como marcar recursos do Amazon FSx no momento da criação, consulte Conceder permissão para marcar recursos durante a criação. Para obter mais informações sobre como marcar recursos, consulte Marcar seus recursos do Amazon FSx para Lustre.
Como controlar o acesso com base em tags em um recurso
Para controlar quais ações um usuário ou um perfil pode executar em um recurso do Amazon FSx, é possível usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par de chave/valor da tag no recurso.
exemplo Exemplo de política: crie um sistema de arquivos fornecendo uma tag específica
Essa política permite que o usuário só crie um sistema de arquivos quando marcá-lo com um par de chave/valor de tag específico; neste exemplo, key=Department, value=Finance.
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
exemplo Exemplo de política: só crie backups nos sistemas de arquivos com uma tag específica
Essa política permite que os usuários só criem backups em sistemas de arquivos marcados com o par de chave/valor key=Department, value=Finance, e o backup será criado com a tag Deparment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
exemplo Exemplo de política: crie um sistema de arquivos com uma tag específica usando backups com uma tag específica
Essa política permite que os usuários só criem sistemas de arquivos marcados com Department=Finance por meio de backups marcados com Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
exemplo Exemplo de política: excluir sistemas de arquivos com tags específicas
Essa política só permite que o usuário exclua sistemas de arquivos marcados com Department=Finance. Se um backup final for criado, ele deverá ser marcado com Department=Finance. Para sistemas de arquivos do FSx para Lustre, os usuários precisam ter o privilégio fsx:CreateBackup para criar o backup final.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
exemplo Exemplo de política: crie tarefas de repositório de dados em sistemas de arquivos com tag específica
Essa política permite que os usuários criem tarefas de repositório de dados marcadas com Department=Finance e somente em sistemas de arquivos marcados com Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:task/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
