Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um den Zugriff auf Gateway-Ressourcen und -Aktionen zu steuern, können Sie AWS Identity and Access Management (IAM)-Richtlinien basierend auf Tags verwenden. Sie können die Steuerung auf zwei Arten bereitstellen:
-
Bestimmen des Zugriffs auf Gateway-Ressourcen basierend auf den Tags für diese Ressourcen
-
Bestimmen, welche Tags in einer IAM-Anfragebedingung weitergeleitet werden können
Informationen zur Bestimmung des Zugriffs mithilfe von Tags finden Sie unter Zugriffssteuerung mit Tags.
Zugriffssteuerung auf der Grundlage von Tags einer -Ressource
Zum Bestimmen, welche Aktionen ein Benutzer oder eine Rolle für eine Gateway-Ressource ausführen kann, können Sie Tags für die Gateway-Ressource verwenden. So können Sie beispielsweise bestimmte API-Operationen für eine File Gateway-Ressource basierend auf dem Schlüssel-Wert-Paar des Tags für die Ressource zulassen oder verweigern.
Das folgende Beispiel erlaubt es einem Benutzer oder einer Rolle, die Aktionnen ListTagsForResource, ListFileShares und DescribeNFSFileShares für alle Ressourcen auszuführen. Die Richtlinie gilt nur, wenn der Schlüssel des Tags in der Ressource auf allowListAndDescribe und der Wert auf yes festgelegt ist.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"storagegateway:ListTagsForResource",
"storagegateway:ListFileShares",
"storagegateway:DescribeNFSFileShares"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/allowListAndDescribe": "yes"
}
}
},
{
"Effect": "Allow",
"Action": [
"storagegateway:*"
],
"Resource": "arn:aws:storagegateway:region:account-id:*/*"
}
]
}Zugriffssteuerung auf der Grundlage von Tags in einer IAM-Anfrage
Sie können anhand der Bedingungen in einer auf Tags basierenden IAM-Richtlinie bestimmen, welche Aktionen ein IAM-Benutzer für eine File Gateway-Ressource ausführen kann. Beispiel: Sie können eine Richtlinie schreiben, die einem IAM-Benutzer die Ausführung bestimmter API-Operationen basierend auf dem von ihm beim Erstellen der Ressource bereitgestellten Tag erlaubt oder verweigert.
Im folgenden Beispiel ermöglicht die erste Anweisung einem Benutzer das Erstellen eines Gateways nur dann, wenn das Schlüssel-Wert-Paar des beim Erstellen des angegebenen Gateways von ihm bereitgestellten Tags Department und Finance lautet. Wenn Sie die API-Operation verwenden, fügen Sie dieses Tag der Aktivierungsanforderung hinzu.
Die zweite Anweisung erlaubt dem Benutzer nur dann das Erstellen einer NFS- (Network File Systems) oder SMB-Dateifreigabe (Server Message Block) in einem Gateway, wenn das Schlüssel-Wert-Paar des Tags auf dem Gateway mit übereinstimmtDepartmentundFinanceaus. Zudem muss der Benutzer ein Tag zur Dateifreigabe hinzufügen, und das Schlüssel-Wert-Paar des Tags muss Department und Finance lauten. Tags werden einer Dateifreigabe bei deren Erstellung hinzugefügt. Es gibt keine Berechtigungen für die AddTagsToResource- oder RemoveTagsFromResource-Operationen, d. h., der Benutzer kann diese Operationen nicht auf dem Gateway oder der Dateifreigabe ausführen.
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"storagegateway:ActivateGateway"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Department":"Finance"
}
}
},
{
"Effect":"Allow",
"Action":[
"storagegateway:CreateNFSFileShare",
"storagegateway:CreateSMBFileShare"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Department":"Finance",
"aws:RequestTag/Department":"Finance"
}
}
}
]
}