搭配亞馬遜 EFS 使用標籤 - Amazon Elastic File System
在建立期間標記資源使用標籤控制使用標籤控制存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配亞馬遜 EFS 使用標籤

您可以使用標籤來控制對 Amazon EFS 資源的存取,以及實作屬性型存取控制 (ABAC)。如需詳細資訊,請參閱:

注意

Amazon EFS 複寫不支援使用標籤進行屬性型存取控制 (ABAC)。

若要在建立期間將標籤套用至 Amazon EFS 資源,使用者必須擁有特定AWS Identity and Access Management (IAM) 許可。

在建立期間授予標籤資源的許可

以下標籤建立 Amazon EFS API 動作可讓您在建立資源時指定標籤。

  • CreateAccessPoint

  • CreateFileSystem

若要讓使用者在建立期間標籤資源,他們必須具備使用者在建立資源時標籤資源,例如elasticfilesystem:CreateAccessPointelasticfilesystem:CreateFileSystem。若標籤於資源建立動作指定,請針對動作AWS執行其他授權,以確認使用者具備建立標籤的許可。elasticfilesystem:TagResource因此,使用者必須同時具備使用 elasticfilesystem:TagResource 動作的明確許可。

elasticfilesystem:TagResource 動作的 IAM 政策定義中,搭配 elasticfilesystem:CreateAction 條件金鑰使用 Condition 元素,將標記許可給與建立資源的動作。

範例 政策:只允許在建立期間將標籤新增至檔案系統

以下範例政策可讓使用者只在建立期間建立檔案系統,並將標籤套用至檔案系統。使用者沒有標記現有資源的權限 (他們不能直接呼叫 elasticfilesystem:TagResource 動作)。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}

使用標籤來控制對 Amazon EFS 資源的存取

若要控制對 Amazon EFS 資源和動作的存取,您可以根據標籤使用 IAM 政策。您可以在以兩種方式提供此控制:

  • 您可以根據這些資源上的標籤來控制對 Amazon EFS 資源的存取。

  • 您可以控制您可以在 IAM 請求條件中傳遞哪些標籤。

如需如何使用標籤來控制AWS資源存取權的詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制存取

根據資源的標籤控制存取

若要控制使用者或角色可在 Amazon EFS 資源上執行哪些動作,您可以在資源上使用標籤。例如,您可能想要根據資源上標籤的索引鍵值配對,允許或拒絕檔案系統資源上的特定 API 作業。

範例 策略:只有在使用特定標記時才建立檔案系統

下列範例原則只允許使用者在使用特定標籤索引鍵值組標記檔案系統時建立檔案系統,在此範例中為key=Departmentvalue=Finance

{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
範例 原則:刪除具有特定標記的檔案系統

以下範例政策可讓使用者只刪除標籤為標籤為標籤的檔案系統Department=Finance

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}