Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan tag dengan Amazon FSx
Anda dapat menggunakan tag untuk mengontrol akses ke FSx sumber daya Amazon dan menerapkan kontrol akses berbasis atribut ()ABAC. Untuk menerapkan tag ke FSx sumber daya Amazon selama pembuatan, pengguna harus memiliki izin AWS Identity and Access Management (IAM) tertentu.
Memberikan izin untuk memberi tanda pada sumber daya saat sumber daya tersebut dibuat
Dengan beberapa tindakan FSx API Amazon yang menciptakan sumber daya, Anda dapat menentukan tag saat membuat sumber daya. Anda dapat menggunakan tag sumber daya ini untuk menerapkan kontrol akses berbasis atribut ()ABAC. Untuk informasi lebih lanjut, lihat ABACUntuk apa AWS? dalam IAMUser Guide.
Agar pengguna dapat menandai sumber daya pada pembuatan, mereka harus memiliki izin untuk menggunakan tindakan yang membuat sumber daya, sepertifsx:CreateFileSystem,fsx:CreateStorageVirtualMachine, ataufsx:CreateVolume. Jika tag ditentukan dalam tindakan pembuatan sumber daya, IAM lakukan otorisasi tambahan pada fsx:TagResource tindakan untuk memverifikasi apakah pengguna memiliki izin untuk membuat tag. Oleh karena itu, para pengguna juga harus memiliki izin eksplisit untuk menggunakan tindakan fsx:TagResource.
Contoh kebijakan berikut memungkinkan pengguna untuk membuat sistem file dan penyimpanan mesin virtual (SVMs) dan menerapkan tag untuk mereka selama pembuatan di tertentu Akun AWS.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }
Demikian pula, kebijakan berikut memungkinkan pengguna untuk membuat cadangan pada sistem file tertentu dan menerapkan tag apa pun ke cadangan selama pembuatan cadangan.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
fsx:TagResourceTindakan dievaluasi hanya jika tag diterapkan selama tindakan pembuatan sumber daya. Oleh karena itu, pengguna yang memiliki izin untuk membuat sumber daya (dengan asumsi tidak ada kondisi penandaan) tidak memerlukan izin untuk menggunakan fsx:TagResource tindakan jika tidak ada tag yang ditentukan dalam permintaan. Akan tetapi, jika pengguna tersebut mencoba untuk membuat sumber daya dengan tanda, maka permintaan akan gagal jika pengguna tidak memiliki izin untuk menggunakan tindakan fsx:TagResource.
Untuk informasi selengkapnya tentang menandai FSx sumber daya Amazon, lihatMemberi tanda sumber daya Amazon FSx Anda. Untuk informasi selengkapnya tentang penggunaan tag untuk mengontrol akses ke FSx sumber daya Amazon, lihatMenggunakan tag untuk mengontrol akses ke FSx sumber daya Amazon Anda.
Menggunakan tag untuk mengontrol akses ke FSx sumber daya Amazon Anda
Untuk mengontrol akses ke FSx sumber daya dan tindakan Amazon, Anda dapat menggunakan IAM kebijakan berdasarkan tag. Anda dapat memberikan kontrol ini dengan dua cara:
-
Anda dapat mengontrol akses ke FSx sumber daya Amazon berdasarkan tag pada sumber daya tersebut.
-
Anda dapat mengontrol tag mana yang dapat diteruskan dalam kondisi IAM permintaan.
Untuk informasi tentang cara menggunakan tag untuk mengontrol akses ke AWS sumber daya, lihat Mengontrol akses menggunakan tag di Panduan IAM Pengguna. Untuk informasi selengkapnya tentang menandai FSx sumber daya Amazon saat pembuatan, lihatMemberikan izin untuk memberi tanda pada sumber daya saat sumber daya tersebut dibuat. Untuk informasi selengkapnya tentang menandai sumber daya, lihatMemberi tanda sumber daya Amazon FSx Anda.
Mengontrol akses berdasarkan tag pada sumber daya
Untuk mengontrol tindakan yang dapat dilakukan pengguna atau peran pada FSx sumber daya Amazon, Anda dapat menggunakan tag pada sumber daya. Misalnya, Anda mungkin ingin mengizinkan atau menolak API operasi tertentu pada sumber daya sistem file berdasarkan pasangan nilai kunci tag pada sumber daya.
contoh Contoh kebijakan - Buat sistem file hanya ketika tag tertentu digunakan
Kebijakan ini memungkinkan pengguna untuk membuat sistem file hanya jika mereka menandainya dengan pasangan nilai kunci tag tertentu, dalam contoh ini,,key=Department. value=Finance
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
contoh Kebijakan contoh - Buat cadangan hanya Amazon FSx untuk NetApp ONTAP volume dengan tag tertentu
Kebijakan ini memungkinkan pengguna untuk membuat cadangan hanya FSx untuk ONTAP volume yang ditandai dengan pasangan nilai kunci,. key=Department value=Finance Cadangan dibuat dengan tagDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
contoh Contoh kebijakan - Buat volume dengan tag tertentu dari cadangan dengan tag tertentu
Kebijakan ini memungkinkan pengguna untuk membuat volume yang ditandai Department=Finance hanya dari backup yang ditandai dengan. Department=Finance
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
contoh Contoh kebijakan - Hapus sistem file dengan tag tertentu
Kebijakan ini memungkinkan pengguna untuk menghapus hanya sistem file yang diberi Department=Finance tag. Jika mereka membuat cadangan akhir, maka itu harus ditandai denganDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
contoh Contoh kebijakan - Hapus volume dengan tag tertentu
Kebijakan ini memungkinkan pengguna untuk menghapus hanya volume yang ditandai. Department=Finance Jika mereka membuat cadangan akhir, maka itu harus ditandai denganDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
