Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi utilizzare i tag per controllare l'accesso alle FSx risorse Amazon e implementare il controllo degli accessi basato sugli attributi (ABAC). Per applicare tag alle FSx risorse Amazon durante la creazione, gli utenti devono disporre di determinate autorizzazioni AWS Identity and Access Management (IAM).
Concessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione
Con alcune azioni FSx Amazon API per la creazione di risorse, puoi specificare i tag quando crei la risorsa. Puoi utilizzare questi tag di risorsa per implementare il controllo degli accessi basato sugli attributi (ABAC). Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Affinché gli utenti possano taggare le risorse al momento della creazione, devono disporre dell'autorizzazione a utilizzare l'azione che crea la risorsafsx:CreateFileSystem, ad esempiofsx:CreateStorageVirtualMachine, ofsx:CreateVolume. Se i tag sono specificati nell'azione di creazione della risorsa, IAM esegue un'autorizzazione aggiuntiva sull'fsx:TagResourceazione per verificare se gli utenti dispongono delle autorizzazioni per creare tag. Pertanto, gli utenti devono disporre anche delle autorizzazioni esplicite per utilizzare l'operazione fsx:TagResource.
La seguente politica di esempio consente agli utenti di creare file system e macchine virtuali di archiviazione (SVMs) e di applicare loro tag durante la creazione in uno specifico. Account AWS
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*",
"arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*"
]
}
]
}Analogamente, la seguente politica consente agli utenti di creare backup su un file system specifico e di applicare eventuali tag al backup durante la creazione del backup.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}L'fsx:TagResourceazione viene valutata solo se i tag vengono applicati durante l'azione di creazione della risorsa. Pertanto, un utente che dispone delle autorizzazioni per creare una risorsa (presupponendo che non vi siano condizioni di etichettatura) non necessita dell'autorizzazione per utilizzare l'fsx:TagResourceazione se nella richiesta non sono specificati tag. Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta ha esito negativo se non dispone delle autorizzazioni per utilizzare l'operazione fsx:TagResource.
Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon, consultaEtichettare le risorse Amazon FSx . Per ulteriori informazioni sull'uso dei tag per controllare l'accesso alle FSx risorse di Amazon, consultaUtilizzo dei tag per controllare l'accesso alle FSx risorse Amazon.
Utilizzo dei tag per controllare l'accesso alle FSx risorse Amazon
Per controllare l'accesso alle FSx risorse e alle azioni di Amazon, puoi utilizzare le policy IAM basate sui tag. È possibile fornire il controllo in due modi:
-
Puoi controllare l'accesso alle FSx risorse Amazon in base ai tag presenti su tali risorse.
-
Puoi controllare quali tag possono essere trasferiti in una condizione di richiesta IAM.
Per informazioni su come utilizzare i tag per controllare l'accesso alle AWS risorse, consulta Controlling access using tags nella IAM User Guide. Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon al momento della creazione, consultaConcessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione. Per ulteriori informazioni sull'assegnazione di tag alle risorse, consulta Etichettare le risorse Amazon FSx .
Controllo dell'accesso in base ai tag di una risorsa
Per controllare quali azioni un utente o un ruolo può eseguire su una FSx risorsa Amazon, puoi utilizzare i tag sulla risorsa. Ad esempio, è possibile consentire o negare operazioni API specifiche su una risorsa di gateway di file in base alla coppia chiave-valore del tag sulla risorsa.
Esempio Politica di esempio: crea un file system solo quando viene utilizzato un tag specifico
Questa politica consente all'utente di creare un file system solo quando lo contrassegna con una coppia chiave-valore di tag specifica, in questo esempio,key=Department. value=Finance
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
Esempio Politica di esempio: crea backup solo dei volumi Amazon FSx for NetApp ONTAP con un tag specifico
Questa policy consente agli utenti di creare backup solo FSx per i volumi ONTAP etichettati con la coppia chiave-valore,. key=Department value=Finance Il backup viene creato con il tag. Department=Finance
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Esempio Politica di esempio: crea un volume con un tag specifico dai backup con un tag specifico
Questa politica consente agli utenti di creare volumi con tag Department=Finance solo a partire da backup contrassegnati con. Department=Finance
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
Esempio Politica di esempio: eliminare i file system con tag specifici
Questa politica consente a un utente di eliminare solo i file system contrassegnati conDepartment=Finance. Se creano un backup finale, deve essere contrassegnato conDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Esempio Politica di esempio: elimina un volume con tag specifici
Questa politica consente a un utente di eliminare solo i volumi contrassegnati conDepartment=Finance. Se creano un backup finale, deve essere taggato conDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
