Menggunakan tag FSx - FSx for ONTAP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag FSx

Anda dapat menggunakan tanda untuk mengontrol akses ke sumber daya Amazon FSx dan menerapkan pengendalian akses berbasis atribut (ABAC). Untuk menerapkan tag ke sumber daya Amazon FSx selama pembuatan, pengguna harus memilikiAWS Identity and Access Management(IAM) izin.

Memberikan izin untuk memberi tanda pada sumber daya saat sumber daya tersebut dibuat

Dengan beberapa tindakan Amazon FSx API untuk penciptaan sumber daya, Anda dapat menentukan tanda saat membuat sumber dayanya. Anda dapat menggunakan tanda sumber daya ini untuk menerapkan kontrol akses berbasis atribut (ABAC). Untuk informasi selengkapnya, lihatUntuk apa ABACAWS?di dalamPanduan Pengguna IAM.

Untuk pengguna memberikan tanda pada sumber daya pada saat pembuatan, para pengguna tersebut harus memiliki izin untuk menggunakan tindakan-tindakan yang membuat sumber daya, sepertifsx:CreateFileSystem,fsx:CreateStorageVirtualMachine, ataufsx:CreateVolume. Jika tanda ditentukan dalam tindakan pembuatan sumber daya, IAM melakukan otorisasi tambahan padafsx:TagResourcetindakan untuk memverifikasi apakah pengguna memiliki izin untuk membuat tag. Oleh karena itu, para pengguna juga harus memiliki izin eksplisit untuk menggunakan tindakan fsx:TagResource.

Kebijakan contoh berikut memungkinkan pengguna untuk membuat sistem file dan penyimpanan mesin virtual (SVM) dan menerapkan tag kepada mereka selama pembuatan di tertentuAkun AWS.

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }

Demikian pula, kebijakan berikut memungkinkan pengguna membuat backup pada sistem file tertentu dan menerapkan tanda apa pun pada pencadangan selama pembuatan backup.

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }

Parameterfsx:TagResourcetindakan dievaluasi hanya jika tanda diterapkan selama tindakan pembuatan sumber daya. Oleh karena itu, seorang pengguna yang memiliki izin untuk membuat sumber daya (dengan asumsi tidak ada syarat untuk pemberian tanda) tidak memerlukan izin untuk menggunakanfsx:TagResourcetindakan jika tidak ada tanda yang ditentukan dalam permintaan. Akan tetapi, jika pengguna tersebut mencoba untuk membuat sumber daya dengan tanda, maka permintaan akan gagal jika pengguna tidak memiliki izin untuk menggunakan tindakan fsx:TagResource.

Untuk informasi selengkapnya tentang penandaan sumber daya Amazon FSx, lihatBeri tanda sumber daya Amazon FSx Anda. Untuk informasi selengkapnya tentang penggunaan tag untuk mengontrol akses ke sumber daya Amazon FSx, lihatMenggunakan tag untuk mengontrol akses ke sumber daya Amazon FSx Anda.

Menggunakan tag untuk mengontrol akses ke sumber daya Amazon FSx Anda

Untuk mengontrol akses ke sumber daya dan tindakan Amazon FSx, Anda dapat menggunakan kebijakan IAM berdasarkan tag. Anda dapat memberikan kontrol ini dengan dua cara:

  • Anda dapat mengontrol akses ke sumber daya Amazon FSx berdasarkan tag pada sumber daya tersebut.

  • Anda dapat mengontrol tag yang dapat diberikan dalam kondisi permintaan IAM.

Untuk informasi tentang cara menggunakan tag untuk mengontrol akses keAWSsumber daya, lihatMengontrol akses menggunakan tandadi dalamPanduan Pengguna IAM. Untuk informasi selengkapnya tentang penandaan sumber daya Amazon FSx saat penciptaan, lihatMemberikan izin untuk memberi tanda pada sumber daya saat sumber daya tersebut dibuat. Untuk informasi selengkapnya tentang penandaan sumber daya, lihatBeri tanda sumber daya Amazon FSx Anda.

Mengontrol akses berdasarkan tag di sumber daya

Untuk mengontrol tindakan mana yang dapat dilakukan pengguna atau peran pada sumber daya Amazon FSx, Anda dapat menggunakan tag pada sumber daya. Misalnya, Anda mungkin ingin mengizinkan atau menolak operasi API tertentu pada sumber daya sistem file berdasarkan pasangan kunci-nilai tag pada sumber daya.

contoh Contoh kebijakan - Buat sistem file hanya jika tag tertentu digunakan

Kebijakan ini memungkinkan pengguna untuk membuat sistem file hanya ketika mereka menandainya dengan pasangan kunci-nilai tag tertentu, dalam contoh ini,key=Department,value=Finance.

{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }

contoh Contoh kebijakan — Membuat cadangan hanya Amazon FSx untuk NetApp Volume ONTAP dengan tag khusus

Kebijakan ini memungkinkan pengguna untuk membuat backup hanya FSx untuk volume ONTAP yang ditandai dengan pasangan kunci-nilaikey=Department,value=Finance. Cadangan dibuat dengan tagDepartment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:/file-system/*/volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }

contoh Contoh kebijakan - Membuat volume dengan tag tertentu dari cadangan dengan tag tertentu

Kebijakan ini memungkinkan pengguna untuk membuat volume yang diberi tag denganDepartment=Financehanya dari backup yang ditandai denganDepartment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*/volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }

contoh Contoh kebijakan - Hapus sistem file dengan tag tertentu

Kebijakan ini memungkinkan pengguna untuk menghapus hanya sistem file yang diberi tag denganDepartment=Finance. Jika mereka membuat cadangan akhir, maka harus ditandai denganDepartment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }