As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando tags com a Amazon FSx
Você pode usar tags para controlar o acesso aos FSx recursos da Amazon e implementar o controle de acesso baseado em atributos (ABAC). Para aplicar tags aos FSx recursos da Amazon durante a criação, os usuários devem ter determinadas permissões AWS Identity and Access Management (IAM).
Conceder permissão para marcar recursos durante a criação
Com algumas ações de API da FSx Amazon que criam recursos, você pode especificar tags ao criar o recurso. É possível usar essas tags de recurso para implementar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
Para permitir que os usuários marquem recursos na criação, eles devem ter permissão para usar a ação que cria o recurso, como fsx:CreateFileSystem, fsx:CreateStorageVirtualMachine ou fsx:CreateVolume. Se tags forem especificadas na ação de criação do recurso, o IAM executará autorização adicional na ação fsx:TagResource para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação fsx:TagResource.
O exemplo de política a seguir permite que os usuários criem sistemas de arquivos e máquinas virtuais de armazenamento (SVMs) e apliquem tags a eles durante a criação em um local específico Conta da AWS.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }
Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
A ação fsx:TagResource só será avaliada se as tags forem aplicadas durante a ação de criação do recurso. Portanto, um usuário que tiver permissões para criar um recurso (supondo que não existam condições de tag) não precisará de permissão para usar a ação fsx:TagResource se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação fsx:TagResource.
Para obter mais informações sobre a marcação de FSx recursos da Amazon, consulteMarcação de recursos da Amazon FSx . Para obter mais informações sobre o uso de tags para controlar o acesso aos FSx recursos da Amazon, consulteUsando tags para controlar o acesso aos seus FSx recursos da Amazon.
Usando tags para controlar o acesso aos seus FSx recursos da Amazon
Para controlar o acesso aos FSx recursos e ações da Amazon, você pode usar políticas do IAM com base em tags. É possível conceder o controle de duas formas:
-
Você pode controlar o acesso aos FSx recursos da Amazon com base nas tags desses recursos.
-
Controlar quais tags podem ser transmitidas em uma condição de solicitação do IAM.
Para obter informações sobre como usar tags para controlar o acesso aos AWS recursos, consulte Como controlar o acesso usando tags no Guia do usuário do IAM. Para obter mais informações sobre a marcação de FSx recursos da Amazon no momento da criação, consulteConceder permissão para marcar recursos durante a criação. Para obter mais informações sobre como marcar recursos, consulte Marcação de recursos da Amazon FSx .
Como controlar o acesso com base em tags em um recurso
Para controlar quais ações um usuário ou função pode realizar em um FSx recurso da Amazon, você pode usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par chave-valor da tag no recurso.
exemplo Exemplo de política: criar um sistema de arquivos somente quando uma tag específica for usada
Essa política permite que o usuário só crie um sistema de arquivos quando o marcar com um par de chave/valor de tag específico, neste exemplo, key=Department, value=Finance.
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
exemplo Exemplo de política — Crie backups somente dos volumes Amazon FSx for NetApp ONTAP com uma tag específica
Essa política permite que os usuários criem backups somente FSx para volumes ONTAP marcados com o par de valores-chave,. key=Department value=Finance O backup é criado com a tag Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
exemplo Exemplo de política: criar um volume com uma tag específica usando backups com uma tag específica
Essa política só permite que os usuários criem volumes marcados com Department=Finance usando backups marcados com Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
exemplo Exemplo de política: excluir sistemas de arquivos com tags específicas
Essa política só permite que o usuário exclua sistemas de arquivos marcados com Department=Finance. Se um backup final for criado, ele deverá ser marcado com Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
exemplo Exemplo de política: excluir um volume com tags específicas
Essa política só permite que o usuário exclua volumes marcados com Department=Finance. Se um backup final for criado, ele deverá ser marcado com Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
