Baliser des ressources pendant la création Contrôle d'accès à l'aide d'identifications Contrôler l'accès à l'aide de balises

Utilisation de balises avec Amazon EFS

Vous pouvez utiliser des balises pour contrôler l'accès aux ressources Amazon EFS et pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, reportez-vous à :

Balisage des ressources Amazon EFS
Contrôle de l'accès basé sur les balises d'une ressource
À quoi sert ABACAWS ? dans le guide de l'utilisateur IAM

Note

La réplication Amazon EFS ne prend pas en charge l'utilisation de balises pour le contrôle d'accès basé sur les attributs (ABAC).

Pour appliquer des balises aux ressources Amazon EFS lors de leur création, les utilisateurs doivent disposer de certaines autorisationsAWS Identity and Access Management (IAM).

Octroi d'autorisations pour labéliser les ressources lors de la création

Les actions d'API Amazon EFS de création de balises vous permettent de spécifier des balises lorsque vous créez la ressource.

CreateAccessPoint
CreateFileSystem

Pour permettre aux utilisateurs de baliser les ressources lors de leur création, ils doivent être autorisés à utiliser l'action qui crée les ressources, telle queelasticfilesystem:CreateAccessPoint ouelasticfilesystem:CreateFileSystem. Si les balises sont spécifiées dans l'action de création de ressources,AWS effectue une autorisation supplémentaire sur l'elasticfilesystem:TagResourceaction pour vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d'utiliser l'action elasticfilesystem:TagResource.

Dans la définition de stratégie IAM de l'action elasticfilesystem:TagResource, utilisez l'élément Condition avec la clé de condition elasticfilesystem:CreateAction pour accorder des autorisations de balisage à l'action qui crée la ressource.

Exemple politique : autoriser l'ajout de balises aux systèmes de fichiers uniquement au moment de la création

L'exemple de stratégie suivant permet aux utilisateurs de créer des systèmes de fichiers et de leur appliquer des balises uniquement lors de la création. Les utilisateurs ne sont pas autorisés à attribuer des balises aux ressources existantes (ils ne peuvent pas appeler l'action elasticfilesystem:TagResource directement).


{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}

Utilisation de balises pour contrôler l'accès à vos ressources Amazon EFS

Pour contrôler l'accès aux ressources et aux actions Amazon EFS, vous pouvez utiliser des politiques IAM basées sur des balises. Vous pouvez effectuer ce contrôle de deux manières :

Vous pouvez contrôler l'accès aux ressources Amazon EFS basé sur les balises de ces ressources.
Vous pouvez contrôler quelles balises peuvent être transmises dans une condition de requête IAM.

Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès auxAWS ressources, consultez la section Contrôle de l'accès à l'aide de balises dans le Guide de l'utilisateur IAM.

Contrôle de l'accès basé sur les balises d'une ressource

Pour contrôler les actions qu'un utilisateur ou un rôle peut effectuer sur une ressource Amazon EFS, vous pouvez utiliser des balises sur la ressource. Par exemple, vous souhaiterez peut-être autoriser ou refuser des opérations d'API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.

Exemple politique : créer un système de fichiers uniquement lorsqu'une balise spécifique est utilisée

L'exemple de politique suivant permet à l'utilisateur de créer un système de fichiers uniquement s'il le balise avec une paire clé-valeur de balise spécifique, dans cet exemple,key=Department,value=Finance.


{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}

Exemple politique : Supprimer les systèmes de fichiers avec des balises spécifiques

L'exemple de stratégie suivant permet à un utilisateur de supprimer uniquement les systèmes de fichiers marqués avecDepartment=Finance.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques gérées par AWS

Utilisation des rôles liés à un service pour Amazon EFS