Acciones, recursos y claves de condición para Amazon FSx - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para Amazon FSx

Amazon FSx (prefijo de servicio: fsx) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon FSx

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateFileGateway Otorga permiso para asociar una instancia de gateway de archivos a un sistema de archivos de Amazon FSx for Windows File Server Write

file-system*

AssociateFileSystemAliases Otorga permiso para asociar alias de DNS con un sistema de archivos de Amazon FSx for Windows File Server. Write

file-system*

CancelDataRepositoryTask Otorga permiso para cancelar una tarea de repositorio de datos. Write

task*

CopyBackup Otorga permiso para copiar una copia de seguridad Escritura

backup*

fsx:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBackup Otorga permiso para crear una nueva copia de seguridad de un sistema de archivos de Amazon FSx o un volumen de Amazon FSx Escritura

backup*

fsx:TagResource

file-system

volume

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataRepositoryAssociation Otorga permiso para crear una nueva asociación de repositorio de datos para un sistema de archivos de Amazon FSx for Lustre. Escritura

association*

fsx:TagResource

file-system*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDataRepositoryTask Otorga permiso para crear una nueva tarea de repositorio de datos para un sistema de archivos de Amazon FSx for Lustre. Escritura

file-system*

fsx:TagResource

task*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFileSystem Otorga permiso para crear un nuevo sistema de Amazon FSx. Escritura

file-system*

fsx:TagResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFileSystemFromBackup Otorga permiso para crear un nuevo sistema de archivos de Amazon FSx a partir de una copia de seguridad existente. Escritura

backup*

fsx:TagResource

file-system*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSnapshot Otorga permiso para crear una nueva instantánea en un volumen. Escritura

snapshot*

fsx:TagResource

volume*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateStorageVirtualMachine Otorga permiso para crear una nueva máquina virtual de almacenamiento en un sistema de archivos de Amazon FSx for Ontap Escritura

file-system*

fsx:TagResource

storage-virtual-machine*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateVolume Otorga permiso para crear un nuevo volumen Escritura

volume*

fsx:TagResource

snapshot

aws:RequestTag/${TagKey}

aws:TagKeys

fsx:StorageVirtualMachineId

fsx:ParentVolumeId

CreateVolumeFromBackup Otorga permiso para crear un nuevo volumen de copia de seguridad Escritura

backup*

fsx:TagResource

storage-virtual-machine*

volume*

aws:RequestTag/${TagKey}

aws:TagKeys

fsx:StorageVirtualMachineId

DeleteBackup Otorga permiso para eliminar una copia de seguridad y su contenido. Después de la eliminación, la copia de seguridad ya no existe y sus datos ya no se encuentran disponibles. Escritura

backup*

DeleteDataRepositoryAssociation Otorga permiso para eliminar una asociación de repositorio de datos. Escritura

association*

DeleteFileSystem Otorga permiso para eliminar un sistema de archivos, su contenido y cualquier copia de seguridad automática existente de dicho sistema de archivos. Escritura

file-system*

fsx:CreateBackup

fsx:TagResource

backup

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteSnapshot Otorga permiso para eliminar una instantánea en un volumen. Escritura

snapshot*

DeleteStorageVirtualMachine Otorga permiso para eliminar una máquina virtual de almacenamiento y su contenido. Escritura

storage-virtual-machine*

DeleteVolume Otorga permiso para eliminar un volumen, su contenido y cualquier copia de seguridad automática existente del volumen. Escritura

volume*

backup

aws:RequestTag/${TagKey}

aws:TagKeys

fsx:StorageVirtualMachineId

fsx:ParentVolumeId

DescribeAssociatedFileGateways Otorga permiso para describir las instancias de gateway de archivos asociadas a un sistema de archivos de Amazon FSx for Windows File Server Read

file-system*

DescribeBackups Otorga permiso para regresar las descripciones de todas las copias de seguridad que sean propiedad de la Cuenta de AWS en la Región de AWS del punto de enlace al que está llamando. Lectura
DescribeDataRepositoryAssociations Otorga permiso para devolver las descripciones de todas las asociaciones del repositorio de datos que sean propiedad de la Cuenta de AWS en la Región de AWS del punto de conexión al que está llamando Lectura
DescribeDataRepositoryTasks Otorga permiso para devolver las descripciones de todas las tareas del repositorio de datos que sean propiedad de la Cuenta de AWS en la Región de AWS del punto de conexión al que está llamando Lectura
DescribeFileSystemAliases Otorga permiso para devolver la descripción de todos los alias de DNS propiedad del sistema de archivos de Amazon FSx for Windows File Server. Read

file-system*

DescribeFileSystems Otorga permiso para regresar las descripciones de todos los sistemas de archivos que sean propiedad de la Cuenta de AWS en la Región de AWS del punto de enlace al que está llamando. Lectura
DescribeSnapshots Otorga permiso para devolver las descripciones de todas las instantáneas que sean propiedad de la Cuenta de AWS en la Región de AWS del punto de conexión al que está llamando Lectura
DescribeStorageVirtualMachines Otorga permiso para regresar las descripciones de todas las máquinas virtuales de almacenamiento que sean propiedad de su Cuenta de AWS en la Región de AWS del punto de enlace al que está llamando. Lectura
DescribeVolumes Otorga permiso para regresar las descripciones de todos los volúmenes que sean propiedad de la Cuenta de AWS de la Región de AWS del punto de enlace al que está llamando. Lectura
DisassociateFileGateway Otorga permiso para desasociar una instancia de gateway de archivos de un sistema de archivos de Amazon FSx for Windows File Server Write

file-system*

DisassociateFileSystemAliases Otorga permiso para desasociar alias de sistemas de archivos con un sistema de archivos de Amazon FSx for Windows File Server. Write

file-system*

ListTagsForResource Otorga permiso para enumerar etiquetas de un recurso de Amazon FSx. Read

association

backup

file-system

snapshot

storage-virtual-machine

task

volume

ManageBackupPrincipalAssociations Otorga permiso para administrar asociaciones principales de copias de seguridad mediante AWS Backup. Permissions management

backup*

ReleaseFileSystemNfsV3Locks Otorga permiso para liberar bloqueos del sistema de archivos NFS V3 Escritura

file-system*

RestoreVolumeFromSnapshot Otorga permiso para restaurar el estado del volumen a partir de una instantánea. Escritura

snapshot*

volume*

TagResource Otorga permisos para etiquetar un recurso de Amazon FSx. Etiquetado

association

backup

file-system

snapshot

storage-virtual-machine

task

volume

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource Otorga permiso para eliminar una etiqueta de un recurso de Amazon FSx. Etiquetado

association

backup

file-system

snapshot

storage-virtual-machine

task

volume

aws:TagKeys

UpdateDataRepositoryAssociation Otorga permiso para actualizar la configuración de asociación del repositorios de datos. Escritura

association*

UpdateFileSystem Otorga permiso para actualizar la configuración del sistema de archivos. Escritura

file-system*

UpdateSnapshot Otorga permiso para actualizar la configuración de la instancia. Escritura

snapshot*

UpdateStorageVirtualMachine Otorga permiso para actualizar la configuración de máquinas virtuales de almacenamiento Escritura

storage-virtual-machine*

UpdateVolume Otorga permiso para actualizar la configuración del volumen Escritura

volume*

fsx:StorageVirtualMachineId

fsx:ParentVolumeId

Tipos de recurso definidos por Amazon FSx

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

nota

Amazon FSx for Windows File Server, Lustre y Ontap comparten algunos de los mismos tipos de recurso, con el mismo formato ARN para cada uno.

Tipos de recurso ARN Claves de condición
file-system arn:${Partition}:fsx:${Region}:${Account}:file-system/${FileSystemId}

aws:ResourceTag/${TagKey}

backup arn:${Partition}:fsx:${Region}:${Account}:backup/${BackupId}

aws:ResourceTag/${TagKey}

storage-virtual-machine arn:${Partition}:fsx:${Region}:${Account}:storage-virtual-machine/${FileSystemId}/${StorageVirtualMachineId}

aws:ResourceTag/${TagKey}

task arn:${Partition}:fsx:${Region}:${Account}:task/${TaskId}

aws:ResourceTag/${TagKey}

association arn:${Partition}:fsx:${Region}:${Account}:association/${FileSystemId}/${DataRepositoryAssociationId}

aws:ResourceTag/${TagKey}

volume arn:${Partition}:fsx:${Region}:${Account}:volume/${FileSystemId}/${VolumeId}

aws:ResourceTag/${TagKey}

snapshot arn:${Partition}:fsx:${Region}:${Account}:snapshot/${VolumeId}/${SnapshotId}

aws:ResourceTag/${TagKey}

Claves de condición de Amazon FSx

Amazon FSx define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por las etiquetas que se pasan en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por las etiquetas asociadas al recurso Cadena
aws:TagKeys Filtra el acceso por las claves de etiquetas que se pasan en la solicitud ArrayOfString
fsx:IsBackupCopyDestination Filtra el acceso por si la copia de seguridad es una de destino para una operación CopyBackup Bool
fsx:IsBackupCopySource Filtra el acceso por si la copia de seguridad es una de origen para una operación CopyBackup Bool
fsx:ParentVolumeId Filtra el acceso meidante el volumen primario contenedor para operaciones de volumen cambiantes. Cadena
fsx:StorageVirtualMachineId Filtra el acceso de la máquina virtual de almacenamiento que contiene para un volumen para mutar operaciones de volumen Cadena