Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo dei tag per controllare l'accesso al gateway e alle risorse di
Per controllare l'accesso alle operazioni e risorse di gateway, è possibile utilizzare le policy AWS Identity and Access Management (IAM) basate su tag. È possibile fornire il controllo in due modi:
-
Controllare l'accesso alle risorse di gateway in base ai tag di queste risorse.
-
Controllare quali tag possono essere trasferiti in una condizione di richiesta IAM.
Per informazioni su come usare i tag per controllare l'accesso, consulta Controllo degli accessi tramite tag.
Controllo dell'accesso in base ai tag di una risorsa
Per controllare le operazioni che un utente o un ruolo può eseguire su una risorsa di gateway, è possibile usare i tag sulla risorsa. Ad esempio, è possibile consentire o negare operazioni API specifiche su una risorsa di gateway di file in base alla coppia chiave-valore del tag sulla risorsa.
L'esempio seguente consente a un utente o un ruolo di eseguire le operazioni ListTagsForResource, ListFileShares e DescribeNFSFileShares su tutte le risorse. La policy si applica solo se il tag nella risorsa ha la chiave impostata su allowListAndDescribe e il valore impostato su yes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "storagegateway:ListTagsForResource", "storagegateway:ListFileShares", "storagegateway:DescribeNFSFileShares" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/allowListAndDescribe": "yes" } } }, { "Effect": "Allow", "Action": [ "storagegateway:*" ], "Resource": "arn:aws:storagegateway:region:account-id:*/*" } ] }
Controllo dell'accesso in base ai tag in una richiesta IAM
Per controllare cosa un utente IAM può fare su una risorsa di gateway, è possibile utilizzare le condizioni in una policy IAM basata su tag. Ad esempio, è possibile scrivere una policy che consente o nega a un utente IAM la possibilità di eseguire operazioni API specifiche in base al tag fornito al momento della creazione della risorsa.
In questo esempio, la prima istruzione consente all'utente di creare un gateway solo se la coppia chiave-valore del tag fornito al momento della creazione del gateway è Department e Finance. Quando si utilizza l'operazione API, si aggiunge questo tag alla richiesta di attivazione.
La seconda istruzione consente all'utente di creare una condivisione file NFS (Network File System) o Server Message Block (SMB) su un gateway solo se la coppia chiave-valore del tag sul gateway corrisponde aDepartmenteFinance. Inoltre, l'utente deve aggiungere un tag alla condivisione file e la coppia chiave-valore del tag deve essere Department e Finance. Puoi aggiungere i tag a una condivisione file nel momento in cui la crei. Non ci sono autorizzazioni per le operazioni AddTagsToResource o RemoveTagsFromResource, quindi l'utente non è in grado di eseguire queste operazioni sul gateway o sulla condivisione file.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "storagegateway:ActivateGateway" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:RequestTag/Department":"Finance" } } }, { "Effect":"Allow", "Action":[ "storagegateway:CreateNFSFileShare", "storagegateway:CreateSMBFileShare" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Department":"Finance", "aws:RequestTag/Department":"Finance" } } } ] }
