As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como usar tags com o Amazon FSx
É possível usar tags para controlar o acesso aos recursos do Amazon FSx e implementar o controle de acesso por atributo (ABAC). Para aplicar tags aos recursos do Amazon FSx durante a criação, os usuários devem ter determinadas permissões do AWS Identity and Access Management (IAM).
## Conceder permissão para marcar recursos durante a criação
Com algumas ações de criação de recursos da API do Amazon FSx, você pode especificar tags quando cria o recurso. É possível usar essas tags de recurso para implementar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte Para [que serve o ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS no *Guia do usuário do IAM*.
Para permitir que os usuários marquem recursos na criação, eles devem ter permissão para usar a ação que cria o recurso, como `fsx:CreateFileSystem`, `fsx:CreateStorageVirtualMachine` ou `fsx:CreateVolume`. Se tags forem especificadas na ação de criação do recurso, o IAM executará autorização adicional na ação `fsx:TagResource` para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação `fsx:TagResource`.
O exemplo de política a seguir permite que os usuários criem sistemas de arquivos e máquinas virtuais de armazenamento (SVMs) e apliquem tags a eles durante a criação em um determinado Conta da AWS local.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:{{region}}:{{account-id}}:file-system/*",
"arn:aws:fsx:{{region}}:{{account-id}}:file-system/*/{{storage-virtual-machine}}/*"
]
}
]
}
```
Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:file-system/{{file-system-id}}*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:backup/*"
}
]
}
```
A ação `fsx:TagResource` só será avaliada se as tags forem aplicadas durante a ação de criação do recurso. Portanto, um usuário que tiver permissões para criar um recurso (supondo que não existam condições de tag) não precisará de permissão para usar a ação `fsx:TagResource` se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação `fsx:TagResource`.
Para obter mais informações sobre como marcar recursos do Amazon FSx, consulte [Marcação de recursos do Amazon FSx](tag-resources.md). Para obter mais informações sobre como usar tags para controlar o acesso aos recursos do Amazon FSx, consulte [Como usar tags para controlar o acesso aos seus recursos do Amazon FSx](#restrict-fsx-access-tags).
## Como usar tags para controlar o acesso aos seus recursos do Amazon FSx
Para controlar o acesso a recursos e ações do Amazon FSx, você pode usar políticas do IAM baseadas em tags. É possível conceder o controle de duas formas:
+ Você pode controlar o acesso aos recursos do Amazon FSx com base nas tags desses recursos.
+ Controle quais tags podem ser transmitidas em uma condição de solicitação do IAM.
Para obter informações sobre como usar tags para controlar o acesso aos AWS recursos, consulte Como [controlar o acesso usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*. Para obter mais informações sobre como marcar recursos do Amazon FSx no momento da criação, consulte [Conceder permissão para marcar recursos durante a criação](#supported-iam-actions-tagging). Para obter mais informações sobre como marcar recursos, consulte [Marcação de recursos do Amazon FSx](tag-resources.md).
### Como controlar o acesso com base em tags em um recurso
Para controlar quais ações um usuário ou um perfil pode executar em um recurso do Amazon FSx, é possível usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par de chave/valor da tag no recurso.
**Example Exemplo de política: criar um sistema de arquivos somente quando uma tag específica for usada**
Essa política permite que o usuário só crie um sistema de arquivos quando o marcar com um par de chave/valor de tag específico, neste exemplo, `key=Department`, `value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Exemplo de política — Crie backups somente dos volumes Amazon FSx for NetApp ONTAP com uma tag específica**
Essa política permite que os usuários só criem backups de volumes do FSx para ONTAP marcados com o par de chave/valor `key=Department`, `value=Finance`. O backup é criado com a tag `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemplo de política: criar um volume com uma tag específica usando backups com uma tag específica**
Essa política só permite que os usuários criem volumes marcados com `Department=Finance` usando backups marcados com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemplo de política: excluir sistemas de arquivos com tags específicas**
Essa política só permite que o usuário exclua sistemas de arquivos marcados com `Department=Finance`. Se um backup final for criado, ele deverá ser marcado com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemplo de política: excluir um volume com tags específicas**
Essa política só permite que o usuário exclua volumes marcados com `Department=Finance`. Se um backup final for criado, ele deverá ser marcado com `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteVolume"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```