本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 Amazon 使用標籤 FSx
您可以使用標籤來控制對 Amazon FSx 資源的存取,以及實作屬性型存取控制 (ABAC)。使用者需要擁有在建立期間將標籤套用至 Amazon FSx 資源的許可。
在建立期間授予標籤資源的許可
有些資源建立 Amazon FSxAPI動作可讓您在建立資源時指定標籤。您可以使用資源標籤來實作屬性型存取控制 (ABAC)。如需詳細資訊,請參閱 IAM 使用者指南中的 ABAC 的 AWS。
使用者若要在建立時標記資源,他們必須具備建立資源動作 (如 fsx:CreateFileSystem 或 fsx:CreateBackup) 的使用許可。若標籤於資源建立動作指定,Amazon 會針對 fsx:TagResource 動作執行其他授權,以確認使用者具備建立標籤的許可。因此,使用者必須同時具備使用 fsx:TagResource 動作的明確許可。
下列範例示範 政策,允許使用者在特定 中建立檔案系統,並在建立期間將標籤套用至檔案系統 AWS 帳戶。
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*" } ] }
同樣地,以下政策允許使用者在特定檔案系統上建立備份,並在備份建立期間將任何標籤套用至備份。
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
只有在資源建立動作中套用了標籤時,才評估 fsx:TagResource 動作。因此,在沒有標記條件的情況下,若請求中未指定標籤,則具備資源建立許可的使用者不需要使用 fsx:TagResource 動作的許可。然而,若該使用者試圖建立具有標籤的資源卻未具備使用 fsx:TagResource 動作的許可,則該請求會失敗。
如需標記 Amazon FSx 資源的詳細資訊,請參閱標記您的 Amazon FSx 資源。如需使用標籤控制FSx資源存取的詳細資訊,請參閱 使用標籤控制對 Amazon FSx 資源的存取。
使用標籤控制對 Amazon FSx 資源的存取
若要控制對 Amazon FSx 資源和動作的存取,您可以根據標籤使用 AWS Identity and Access Management (IAM) 政策。您可以透過兩個方式提供控制:
-
根據這些FSx資源上的標籤控制對 Amazon 資源的存取。
-
控制可在IAM請求條件中傳遞的標籤。
如需如何使用標籤控制對 AWS 資源的存取的資訊,請參閱IAM《 使用者指南》中的使用標籤控制存取。如需在建立時標記 Amazon FSx 資源的詳細資訊,請參閱 在建立期間授予標籤資源的許可。如需標記資源的詳細資訊,請參閱 標記您的 Amazon FSx 資源。
根據資源的標籤控制存取
若要控制使用者或角色可以在 Amazon FSx 資源上執行的動作,您可以在資源上使用標籤。例如,您可能想要根據資源上標籤的鍵值對,允許或拒絕檔案系統資源的特定API操作。
範例 政策 – 提供特定標籤時在 上建立檔案系統
此政策允許使用者建立檔案系統,前提是使用者使用特定標籤索引鍵值對來標記它,在此範例中為 key=Department, value=Finance。
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
範例 政策 – 僅建立具有特定標籤的 Amazon FSx 檔案系統的備份
此政策允許使用者僅建立以金鑰值對 標記的檔案系統的備份key=Department, value=Finance,並使用標籤 建立備份Deparment=Finance。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
範例 政策 – 從具有特定標籤的備份建立具有特定標籤的檔案系統
此政策允許使用者建立Department=Finance僅從使用 標記的備份中標記的檔案系統Department=Finance。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
範例 政策 – 刪除具有特定標籤的檔案系統
此政策允許使用者僅刪除已標記 的檔案系統Department=Finance。如果他們建立最終備份,則必須使用 標記Department=Finance。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
