使用標籤與亞馬遜 FSx - FSx 適用於 Lustre
在建立期間標記資源使用標籤控制存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用標籤與亞馬遜 FSx

您可以使用標籤來控制對 Amazon FSx 資源的存取,以及實作以屬性為基礎的存取控制 (ABAC)。若要在建立期間將標籤套用至 Amazon FSx 資源,使用者必須擁有特定AWS Identity and Access Management (IAM) 許可。

在建立期間授予標籤資源的許可

透過一些資源建立 Amazon FSx for Lustre API 動作,您可以在建立資源時指定標籤。您可以使用這些資源標籤來實作以屬性為基礎的存取控制 (ABAC)。如需詳細資訊,請參閱的 ABAC 是什麼AWS?IAM 使用者指南中。

使用者若要在建立時標記資源,他們必須具備建立資源動作 (如) 的使用許可fsx:CreateFileSystem。若標籤於資源建立動作指定,IAM 會針對動作執行其他授權,以確認使用者具備建立標籤的許可。fsx:TagResource因此,使用者必須同時具備使用 fsx:TagResource 動作的明確許可。

下列範例原則可讓使用者在建立特定檔案系統期間建立檔案系統並將標籤套用至檔案系統AWS 帳戶。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateFileSystem",
         "fsx:TagResource"       
      ],
      "Resource": [
         "arn:aws:fsx:region:account-id:file-system/*"
      ]
    }
  ]
}

同樣的,下列政策允許使用者在特定檔案系統上建立備份,並在備份期間將標籤套用至備份。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateBackup"
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:region:account-id:backup/*"
    }
  ]
}

只有在資源建立fsx:TagResource動作中套用了標籤時,才評估動作。因此,在沒有標記條件的情況下,若請求中未指定標籤,則具備資源建立許可的使用者不需要使用fsx:TagResource動作的許可。然而,若該使用者試圖建立具有標籤的資源卻未具備使用 fsx:TagResource 動作的許可,則該請求會失敗。

如需標記 Amazon FSx 資源的詳細資訊,請參閱標記您的 Amazon FSx for Lustre 資源。如需使用標籤以控制對 Lustre 資源之 Amazon FSx 之存取的詳細資訊,請參閱使用標籤來控制對 Amazon FSx 資源的存取

使用標籤來控制對 Amazon FSx 資源的存取

若要控制對 Amazon FSx 資源和動作的存取權限,您可以根據標籤使用 IAM 政策。您可以透過兩種方式提供此控制:

  • 您可以根據這些資源的標籤控制對 Amazon FSx 資源的存取。

  • 您可以控制您可以在 IAM 請求條件中傳遞哪些標籤。

如需如何使用標籤來控制AWS資源存取權限的詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制存取。如需建立時標記 Amazon FSx 資源的詳細資訊,請參閱在建立期間授予標籤資源的許可。如需資源標籤功能的詳細資訊,請參閱標記您的 Amazon FSx for Lustre 資源

根據資源上的標籤控制存取

若要控制使用者或角色可在 Amazon FSx 資源上執行哪些動作,您可以在資源上使用標籤。例如,您可能想要根據資源上標籤的索引鍵值配對,允許或拒絕檔案系統資源上的特定 API 作業。

範例原則 — 在提供特定標籤時建立檔案系統

此原則只允許使用者在使用特定標籤索引鍵值配對來標記檔案系統時建立檔案系統,在此範例中為key=Department, value=Finance

{
    "Effect": "Allow",
    "Action": [
        "fsx:CreateFileSystem",
        "fsx:TagResource"
    ],
    "Resource": "arn:aws:fsx:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
範例原則 — 僅在具有特定標籤的檔案系統上建立備份

此原則允許使用者僅在以金鑰值組標記的檔案系統上建立備份key=Department, value=Finance,而且會使用標籤建立備份Deparment=Finance

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource",
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
     
    ]
}
範例原則 — 使用特定標籤的備份建立具有特定標籤的檔案系統

此原則可讓使用者建立Department=Finance只有標記為備份的檔案系統Department=Finance

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
範例原則 — 刪除具有特定標籤的檔案系統

本政策允許使用者只刪除標記有標記的檔案系統Department=Finance。如果他們創建了最終備份,則必須使用標記Department=Finance。對於 Lustre 文件系統,用戶需要創建最終備份的fsx:CreateBackup權限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:DeleteFileSystem"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}
範例原則 — 在具有特定標籤的檔案系統上建立資料儲存庫作業

此原則允許使用者建立標記為的資料儲存庫工作Department=Finance,而且只能在標記為標記的檔案系統上建立Department=Finance

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateDataRepositoryTask"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateDataRepositoryTask",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:task/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}