Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de etiquetas con Amazon FSx
Puede utilizar etiquetas para controlar el acceso a los recursos de Amazon FSx e implementar el control de acceso basado en atributos (ABAC). Para aplicar etiquetas a los recursos de Amazon FSx durante la creación, los usuarios deben tener determinados permisos IAM AWS Identity and Access Management .
Conceder permisos para etiquetar recursos durante la creación
Con algunas acciones del API de creación de recursos de Amazon FSx, puede especificar etiquetas al crear el recurso. Puede utilizar estas etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
Para que los usuarios puedan etiquetar recursos en el momento de su creación, deben tener permiso para utilizar la acción que crea el recurso, como fsx:CreateFileSystem, fsx:CreateStorageVirtualMachine o fsx:CreateVolume. Si se especifican etiquetas en la acción de creación de recursos, IAM realiza una autorización adicional en la acción fsx:TagResource para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción fsx:TagResource.
El siguiente ejemplo de política permite a los usuarios crear sistemas de archivos y máquinas virtuales de almacenamiento (SVM) y aplicarles etiquetas durante la creación en un entorno específico. Cuenta de AWS
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }
De la misma manera, la siguiente política permite que los usuarios creen copias de seguridad en un sistema de archivos específico, y apliquen cualquier etiqueta a la copia de seguridad durante la creación de la copia de seguridad.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
La acción fsx:TagResource solo se evalúa si se aplican etiquetas durante la acción de creación de recursos. Por lo tanto, un usuario que tenga permisos para crear un recurso (suponiendo que no existan condiciones de etiquetado) no necesita permiso para utilizar la acción fsx:TagResource si no se especifica ninguna etiqueta en la solicitud. Sin embargo, si el usuario intenta crear un recurso con etiquetas, la solicitud dará un error si el usuario no tiene permisos para utilizar la acción fsx:TagResource.
Para obtener más información sobre el etiquetado de recursos de Amazon FSx, consulte Etiquetar los recursos de Amazon FSx. Para obtener más información sobre cómo usar etiquetas para controlar el acceso a los recursos de Amazon FSx, consulte Uso de etiquetas para controlar el acceso a los recursos de Amazon FSx .
Uso de etiquetas para controlar el acceso a los recursos de Amazon FSx
Para controlar el acceso a los recursos y las acciones de Amazon FSx, puede utilizar políticas de (IAM) basadas en etiquetas. Puede proporcionar este control de dos maneras:
-
Puede controlar el acceso a los recursos de Amazon FSx basándose en las etiquetas de dichos recursos.
-
Puede controlar qué etiquetas se pueden pasar en una condición de solicitud IAM.
Para obtener información sobre cómo utilizar las etiquetas para controlar el acceso a AWS los recursos, consulte Controlar el acceso mediante etiquetas en la Guía del usuario de IAM. Para obtener más información acerca del etiquetado de recursos de Amazon FSx en la creación, consulte Conceder permisos para etiquetar recursos durante la creación. Para obtener más información acerca del etiquetado de recursos, consulte Etiquetar los recursos de Amazon FSx.
Control del acceso a un recurso en función de las etiquetas
Para controlar qué acciones puede realizar un usuario o rol en un recurso de Amazon FSx, puede utilizar etiquetas en el recurso. Por ejemplo, es posible que desee permitir o denegar acciones de la API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.
ejemplo Ejemplo de política: crear un sistema de archivos únicamente cuando se utiliza una etiqueta específica
Esta política permite que el usuario cree un sistema de archivos solo cuando lo etiqueta con un par clave-valor específico, en este ejemplo, key=Department, value=Finance.
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
ejemplo Política de ejemplo: cree copias de seguridad únicamente de Amazon FSx para volúmenes NetApp ONTAP con una etiqueta específica
Esta política permite a los usuarios crear copias de seguridad únicamente de los volúmenes FSx para ONTAP etiquetados con el par clave-valor key=Department, value=Finance. La copia de seguridad se crea con la etiqueta Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
ejemplo Ejemplo de política: crear un volumen con una etiqueta específica a partir de copias de seguridad con una etiqueta específica
Esta política permite a los usuarios crear volúmenes etiquetados con Department=Finance únicamente a partir de copias de seguridad etiquetadas con Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
ejemplo Política de ejemplo: eliminar los sistemas de archivos con etiquetas específicas
Esta política permite que un usuario elimine únicamente los sistemas de archivos que estén etiquetados con Department=Finance. Si crea una copia de seguridad final, debe etiquetarla con Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
ejemplo Ejemplo de política: eliminar un volumen con etiquetas específicas
Esta política permite a un usuario eliminar únicamente los sistemas de archivos etiquetados con Department=Finance. Si crean una copia de seguridad final, deberá etiquetarse con Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
