Menggunakan tag dengan Amazon FSx - Amazon FSx for Windows File Server
Memberi tanda pada sumber daya saat sumber daya dibuatKontrol akses menggunakan tag

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag dengan Amazon FSx

Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya Amazon FSx dan menerapkan kontrol akses berbasis atribut (ABAC). Pengguna harus memiliki izin untuk menerapkan tag ke sumber daya Amazon FSx selama pembuatan.

Memberikan izin untuk memberi tanda pada sumber daya saat sumber daya tersebut dibuat

Beberapa tindakan Amazon FSx API yang membuat sumber daya memungkinkan Anda menentukan tag saat membuat sumber daya. Anda dapat menggunakan tag sumber daya untuk menerapkan kontrol akses berbasis atribut (ABAC). Untuk informasi selengkapnya, lihat Untuk apa ABAC AWS di Panduan Pengguna IAM.

Untuk memungkinkan para pengguna memberikan tanda pada sumber daya pada saat pembuatan, para pengguna tersebut harus memiliki izin untuk menggunakan tindakan-tindakan yang membuat sumber daya, seperti fsx:CreateFileSystem atau fsx:CreateBackup. Jika tanda-tanda ditentukan dalam tindakan yang digunakan untuk membuat sumber daya, maka Amazon akan melakukan otorisasi tambahan pada tindakan fsx:TagResource untuk melakukan verifikasi apakah pengguna memiliki izin untuk membuat tanda. Oleh karena itu, para pengguna juga harus memiliki izin eksplisit untuk menggunakan tindakan fsx:TagResource.

Contoh berikut menunjukkan kebijakan yang memungkinkan pengguna untuk membuat sistem file dan menerapkan tag ke sistem file selama pembuatan di tertentu Akun AWS.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateFileSystem",
         "fsx:TagResource"         
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/*"
    }
  ]
}

Demikian pula, kebijakan berikut memungkinkan pengguna untuk membuat cadangan pada sistem file tertentu dan menerapkan tag apa pun ke cadangan selama pembuatan cadangan.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateBackup"
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:region:account-id:backup/*"
    }
  ]
}

Tindakan fsx:TagResource akan dievaluasi hanya jika tanda diterapkan selama tindakan pembuatan sumber daya. Oleh karena itu, seorang pengguna yang memiliki izin untuk membuat sumber daya (dengan asumsi tidak ada syarat untuk pemberian tanda) tidak memerlukan izin untuk menggunakan tindakan fsx:TagResource jika tidak ada tanda yang ditentukan dalam permintaan. Akan tetapi, jika pengguna tersebut mencoba untuk membuat sumber daya dengan tanda, maka permintaan akan gagal jika pengguna tidak memiliki izin untuk menggunakan tindakan fsx:TagResource.

Untuk informasi selengkapnya tentang menandai sumber daya Amazon FSx, lihat. Beri tag pada sumber daya Amazon FSx Anda Untuk informasi selengkapnya tentang penggunaan tag untuk mengontrol akses ke sumber daya FSx, lihat. Menggunakan tag untuk mengontrol akses ke sumber daya Amazon FSx Anda

Menggunakan tag untuk mengontrol akses ke sumber daya Amazon FSx Anda

Untuk mengontrol akses ke sumber daya dan tindakan Amazon FSx, Anda dapat menggunakan kebijakan AWS Identity and Access Management (IAM) berdasarkan tag. Anda dapat memberikan kontrol dengan dua cara:

  1. Kontrol akses ke sumber daya Amazon FSx berdasarkan tag pada sumber daya tersebut.

  2. Kontrol tag apa yang dapat diteruskan dalam kondisi permintaan IAM.

Untuk informasi tentang cara menggunakan tag untuk mengontrol akses ke AWS sumber daya, lihat Mengontrol akses menggunakan tag di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang menandai sumber daya Amazon FSx saat pembuatan, lihat. Memberikan izin untuk memberi tanda pada sumber daya saat sumber daya tersebut dibuat Untuk informasi selengkapnya tentang menandai sumber daya, lihatBeri tag pada sumber daya Amazon FSx Anda.

Mengontrol akses berdasarkan tag pada sumber daya

Untuk mengontrol tindakan apa yang dapat dilakukan pengguna atau peran pada sumber daya Amazon FSx, Anda dapat menggunakan tag pada sumber daya. Misalnya, Anda mungkin ingin mengizinkan atau menolak operasi API tertentu pada sumber daya sistem file berdasarkan pasangan nilai kunci tag pada sumber daya.

contoh kebijakan — Membuat sistem file pada saat memberikan tag tertentu

Kebijakan ini memungkinkan pengguna untuk membuat sistem file hanya jika mereka menandainya dengan pasangan nilai kunci tag tertentu, dalam contoh ini,key=Department, value=Finance.

{
    "Effect": "Allow",
    "Action": [
        "fsx:CreateFileSystem",
        "fsx:TagResource"
    ],
    "Resource": "arn:aws:fsx:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
contoh kebijakan - Buat cadangan hanya dari sistem file Amazon FSx dengan tag tertentu

Kebijakan ini memungkinkan pengguna untuk membuat backup hanya dari sistem file yang ditandai dengan pasangan nilai kuncikey=Department, value=Finance, dan cadangan akan dibuat dengan tag. Deparment=Finance

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource",
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
     
    ]
}
contoh kebijakan — Membuat sistem file dengan tag tertentu dari backup dengan tag tertentu

Kebijakan ini memungkinkan pengguna untuk membuat sistem file yang ditandai dengan Department=Finance hanya dari backup yang ditandai dengan. Department=Finance

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
contoh kebijakan - Hapus sistem file dengan tag tertentu

Kebijakan ini memungkinkan pengguna untuk menghapus hanya sistem file yang diberi Department=Finance tag. Jika mereka membuat cadangan akhir, maka itu harus ditandai denganDepartment=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:DeleteFileSystem"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}