Menggunakan tag dengan Amazon EFS - Sistem File Elastis Amazon
Memberi tanda pada sumber daya saat sumber daya dibuatKontrol akses menggunakan tagMengontrol akses menggunakan tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag dengan Amazon EFS

Anda dapat menggunakan tanda untuk mengontrol ke sumber daya Amazon EFS dan menerapkan kontrol akses berbasis atribut (ABAC). Untuk informasi selengkapnya, lihat:

catatan

Replikasi Amazon EFS tidak mendukung tag untuk kontrol akses berbasis atribut (ABAC).

Untuk menerapkan tag ke sumber daya Amazon EFS selama pembuatan, pengguna harus memiliki izinAWS Identity and Access Management (IAM) tertentu.

Pemberian izin untuk memberi tag

Tag pada tindakan Amazon EFS API memungkinkan Anda menentukan tanda saat membuat sumber daya.

  • CreateAccessPoint

  • CreateFileSystem

Untuk memungkinkan pengguna menandai sumber daya pada pembuatan, mereka harus memiliki izin untuk menggunakan tindakan yang menciptakan sumber daya, sepertielasticfilesystem:CreateAccessPoint atauelasticfilesystem:CreateFileSystem. Jika tanda ditentukan dalam aksi pembuatan sumber daya,AWS melakukan otorisasi tambahan padaelasticfilesystem:TagResource tindakan untuk memverifikasi apakah pengguna memiliki izin untuk membuat tanda. Oleh karena itu, para pengguna juga harus memiliki izin eksplisit untuk menggunakan tindakan elasticfilesystem:TagResource.

Di dalam definisi kebijakan IAM untuk tindakan elasticfilesystem:TagResource, gunakan elemen Condition dengan kunci syarat elasticfilesystem:CreateAction untuk memberikan izin pemberian tanda pada tindakan yang membuat sumber daya.

contoh kebijakan: Izinkan menambahkan tanda ke sistem file hanya pada saat pembuatan

Kebijakan contoh berikut memungkinkan pengguna untuk membuat sistem file dan menerapkan tag kepada mereka hanya selama pembuatan. Para pengguna tidak diizinkan untuk memberi tanda pada sumber daya yang sudah ada (mereka tidak dapat memerintahkan tindakan elasticfilesystem:TagResource secara langsung).

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}

Mengunakan tanda untuk mengontrol akses ke sumber daya Amazon EFS Anda

Untuk mengontrol akses ke sumber daya dan tindakan Amazon EFS, Anda dapat menggunakan kebijakan IAM berdasarkan tag. Anda dapat memberikan kontrol ini dengan dua cara:

  • Anda dapat mengontrol akses ke sumber daya Amazon EFS berdasarkan tag pada sumber daya tersebut.

  • Anda dapat mengontrol tag yang dapat diteruskan dalam kondisi permintaan IAM.

Untuk informasi tentang cara menggunakan tag untuk mengontrol akses keAWS sumber daya, lihat Mengontrol akses menggunakan tag di Panduan Pengguna IAM.

Mengontrol akses berdasarkan tag

Untuk mengontrol tindakan mana yang dapat dilakukan pengguna atau peran pada sumber daya Amazon EFS, Anda dapat menggunakan tag pada sumber daya. Misalnya, Anda mungkin ingin mengizinkan atau menolak operasi API tertentu pada sumber daya sistem file berdasarkan pasangan kunci-nilai tag pada sumber daya.

contoh policy: Buat sistem file hanya jika tag tertentu digunakan

Kebijakan contoh berikut memungkinkan pengguna untuk membuat sistem file hanya ketika mereka menandainya dengan pasangan kunci-nilai tag tertentu, dalam contoh inikey=Department,value=Finance.

{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
contoh kebijakan: Hapus sistem file dengan tag tertentu

Kebijakan contoh berikut memungkinkan pengguna untuk menghapus sistem file yang diberi tagDepartment=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}