Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de etiquetas con Amazon EFS
Puede utilizar etiquetas para controlar el acceso a los recursos de Amazon EFS y para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulte:
¿Qué es ABAC paraAWS? en la Guía del usuario de IAM
nota
La replicación de Amazon EFS no permite el uso de etiquetas para el control de acceso basado en atributos (ABAC).
Para aplicar etiquetas a los recursos de Amazon EFS durante la creación, los usuarios deben tener ciertos permisosAWS Identity and Access Management (de IAM).
Concesión de permisos para etiquetar recursos durante la creación
Las siguientes acciones de creación de Amazon EFS le permiten especificar etiquetas al crear el recurso.
-
CreateAccessPoint
-
CreateFileSystem
Para permitir a los usuarios etiquetar recursos al crear los recursos, deben tener permisos para utilizar la acción que crea los recursos, comoelasticfilesystem:CreateAccessPoint
oelasticfilesystem:CreateFileSystem
. Si se especifican etiquetas en la acción de creación de recursos,AWS realiza una autorización adicional en laelasticfilesystem:TagResource
acción para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción elasticfilesystem:TagResource
.
En la definición de la política de IAM de la acción elasticfilesystem:TagResource
, utilice el elemento Condition
con la clave de condición elasticfilesystem:CreateAction
para otorgar permisos de etiquetado a la acción que crea el recurso.
ejemplo política: permite agregar etiquetas a sistemas de archivos solo en el momento de su creación
La siguiente política de ejemplo permite a los usuarios crear etiquetas durante la creación. No se permite a los usuarios etiquetar ningún recurso (no pueden llamar directamente a la acción elasticfilesystem:TagResource
).
{ "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem" ], "Resource": "arn:aws:elasticfilesystem:
region
:account-id
:file-system/*" }, { "Effect": "Allow", "Action": [ "elasticfilesystem:TagResource" ], "Resource": "arn:aws:elasticfilesystem:region
:account-id
:file-system/*", "Condition": { "StringEquals": { "elasticfilesystem:CreateAction": "CreateFileSystem" } } } ] }
Uso de etiquetas para controlar el acceso a los recursos de Amazon EFS
Para controlar el acceso a los recursos y las acciones de Amazon EFS, puede utilizar políticas de IAM basadas en etiquetas. Puede proporcionar este control de dos maneras:
-
Puede controlar el acceso a los recursos de Amazon EFS de basado en etiquetas.
-
Puede controlar las etiquetas que se pueden pasar en una condición de solicitud de IAM.
Para obtener información sobre cómo utilizar las etiquetas para controlar el acceso aAWS los recursos, consulte Controlar el acceso mediante etiquetas en la Guía del usuario de IAM.
Controlar el acceso mediante etiquetas
Para controlar qué acciones puede realizar un usuario o un rol en un recurso de Amazon EFS, puede usar etiquetas en el recurso. Por ejemplo, puede permitir o denegar operaciones de API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.
ejemplo política: cree un sistema de archivos solo cuando se utilice una etiqueta específica
La siguiente política de ejemplo permite al usuario crear un sistema de archivos solo cuando lo etiqueta con un par clave-valor de etiqueta específico, en este ejemplo,key=Department
,value=Finance
.
{ "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:TagResource" ], "Resource": "arn:aws:elasticfilesystem:
region
:account-id
:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
ejemplo política: eliminar sistemas de archivos con etiquetas específicas
La siguiente política de ejemplo permite a un usuario eliminar únicamente los sistemas de archivos que estén etiquetas conDepartment=Finance
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:DeleteFileSystem" ], "Resource": "arn:aws:elasticfilesystem:
region
:account-id
:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }