Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de etiquetas para controlar el acceso a la gateway y a los recursos de
Para controlar el acceso a los recursos y las acciones de gateway, puede utilizar políticas de AWS Identity and Access Management (IAM) basadas en etiquetas. Puede proporcionar el control de dos maneras:
-
Controlar el acceso a los recursos de una gateway basándose en las etiquetas de dichos recursos.
-
Controlar las etiquetas que se pueden pasar en una condición de solicitud de IAM.
Para obtener información sobre cómo utilizar etiquetas para controlar el acceso, consulte Control del acceso mediante etiquetas.
Control del acceso en función de las etiquetas de un recurso
Para controlar las acciones que puede realizar un usuario o un rol en un recurso de gateway, puede utilizar etiquetas en el recurso de gateway. Por ejemplo, es posible que desee permitir o denegar acciones de la API específicas en un recurso de gateway de archivos en función del par clave-valor de la etiqueta del recurso.
En el siguiente ejemplo, se permite a un usuario o un rol realizar las acciones ListTagsForResource, ListFileShares y DescribeNFSFileShares con todos los recursos. La política se aplica únicamente si la clave de la etiqueta del recurso es allowListAndDescribe y tiene el valor yes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "storagegateway:ListTagsForResource", "storagegateway:ListFileShares", "storagegateway:DescribeNFSFileShares" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/allowListAndDescribe": "yes" } } }, { "Effect": "Allow", "Action": [ "storagegateway:*" ], "Resource": "arn:aws:storagegateway:region:account-id:*/*" } ] }
Control del acceso en función de las etiquetas de una solicitud de IAM
Para controlar lo que un usuario de IAM puede hacer en un recurso de gateway, puede utilizar condiciones en una política de IAM basada en etiquetas. Por ejemplo, puede escribir una política que permite o deniega a un usuario de IAM la posibilidad de realizar operaciones de la API específicas en función de la etiqueta que se proporcionó al crear el recurso.
En el siguiente ejemplo, la primera instrucción permite a un usuario crear una gateway únicamente si el par clave-valor de la etiqueta que se proporcionó al crear la gateway es Department y Finance. Al utilizar la operación de la API, tendrá que añadir esta etiqueta a la solicitud de activación.
La segunda instrucción permite al usuario crear un recurso compartido de archivos Network File System (NFS) o Server Message Block (SMB) en una gateway solo si el par clave-valor de la etiqueta de la gateway coincide conDepartmentyFinance. Además, el usuario debe añadir una etiqueta al recurso compartido de archivos, y el par clave-valor de la etiqueta debe ser Department y Finance. Las etiquetas de un recurso compartido de archivos se añaden al crearlo. No hay permisos para las operaciones RemoveTagsFromResource ni AddTagsToResource, por lo que el usuario no puede realizar estas operaciones en la gateway ni en el recurso compartido de archivos.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "storagegateway:ActivateGateway" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:RequestTag/Department":"Finance" } } }, { "Effect":"Allow", "Action":[ "storagegateway:CreateNFSFileShare", "storagegateway:CreateSMBFileShare" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Department":"Finance", "aws:RequestTag/Department":"Finance" } } } ] }
