Uso de etiquetas con Amazon EFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de etiquetas con Amazon EFS

Puede utilizar etiquetas para controlar el acceso a los recursos de Amazon EFS y para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulte:

nota

La replicación de Amazon EFS no permite el uso de etiquetas para el control de acceso basado en atributos (ABAC).

Para aplicar etiquetas a los recursos de Amazon EFS durante la creación, los usuarios deben tener ciertos permisosAWS Identity and Access Management (de IAM).

Concesión de permisos para etiquetar recursos durante la creación

Las siguientes acciones de creación de Amazon EFS le permiten especificar etiquetas al crear el recurso.

  • CreateAccessPoint

  • CreateFileSystem

Para permitir a los usuarios etiquetar recursos al crear los recursos, deben tener permisos para utilizar la acción que crea los recursos, comoelasticfilesystem:CreateAccessPoint oelasticfilesystem:CreateFileSystem. Si se especifican etiquetas en la acción de creación de recursos,AWS realiza una autorización adicional en laelasticfilesystem:TagResource acción para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción elasticfilesystem:TagResource.

En la definición de la política de IAM de la acción elasticfilesystem:TagResource, utilice el elemento Condition con la clave de condición elasticfilesystem:CreateAction para otorgar permisos de etiquetado a la acción que crea el recurso.

ejemplo política: permite agregar etiquetas a sistemas de archivos solo en el momento de su creación

La siguiente política de ejemplo permite a los usuarios crear etiquetas durante la creación. No se permite a los usuarios etiquetar ningún recurso (no pueden llamar directamente a la acción elasticfilesystem:TagResource).

{ "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem" ], "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*" }, { "Effect": "Allow", "Action": [ "elasticfilesystem:TagResource" ], "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*", "Condition": { "StringEquals": { "elasticfilesystem:CreateAction": "CreateFileSystem" } } } ] }

Uso de etiquetas para controlar el acceso a los recursos de Amazon EFS

Para controlar el acceso a los recursos y las acciones de Amazon EFS, puede utilizar políticas de IAM basadas en etiquetas. Puede proporcionar este control de dos maneras:

  • Puede controlar el acceso a los recursos de Amazon EFS de basado en etiquetas.

  • Puede controlar las etiquetas que se pueden pasar en una condición de solicitud de IAM.

Para obtener información sobre cómo utilizar las etiquetas para controlar el acceso aAWS los recursos, consulte Controlar el acceso mediante etiquetas en la Guía del usuario de IAM.

Controlar el acceso mediante etiquetas

Para controlar qué acciones puede realizar un usuario o un rol en un recurso de Amazon EFS, puede usar etiquetas en el recurso. Por ejemplo, puede permitir o denegar operaciones de API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.

ejemplo política: cree un sistema de archivos solo cuando se utilice una etiqueta específica

La siguiente política de ejemplo permite al usuario crear un sistema de archivos solo cuando lo etiqueta con un par clave-valor de etiqueta específico, en este ejemplo,key=Department,value=Finance.

{ "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:TagResource" ], "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
ejemplo política: eliminar sistemas de archivos con etiquetas específicas

La siguiente política de ejemplo permite a un usuario eliminar únicamente los sistemas de archivos que estén etiquetas conDepartment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:DeleteFileSystem" ], "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }