Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usare i tag con Amazon FSx
Puoi utilizzare i tag per controllare l'accesso alle FSx risorse Amazon e implementare il controllo degli accessi basato sugli attributi (). ABAC Per applicare tag alle FSx risorse Amazon durante la creazione, gli utenti devono disporre di determinate AWS Identity and Access Management (IAM) autorizzazioni.
Concessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione
Con alcune azioni FSx API Amazon per la creazione di risorse, puoi specificare i tag quando crei la risorsa. Puoi utilizzare questi tag di risorsa per implementare il controllo degli accessi basato sugli attributi (). ABAC Per ulteriori informazioni, consulta A cosa serve? ABAC AWS nella Guida IAM per l'utente.
Affinché gli utenti possano taggare le risorse al momento della creazione, devono disporre dell'autorizzazione a utilizzare l'azione che crea la risorsafsx:CreateFileSystem, ad esempiofsx:CreateStorageVirtualMachine, ofsx:CreateVolume. Se i tag sono specificati nell'azione di creazione della risorsa, IAM esegue un'autorizzazione aggiuntiva sull'azione per verificare se gli utenti dispongono delle fsx:TagResource autorizzazioni per creare tag. Pertanto, gli utenti devono disporre anche delle autorizzazioni esplicite per utilizzare l'operazione fsx:TagResource.
La seguente politica di esempio consente agli utenti di creare file system e macchine virtuali di archiviazione (SVMs) e di applicare loro tag durante la creazione in uno specifico. Account AWS
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }
Analogamente, la seguente politica consente agli utenti di creare backup su un file system specifico e di applicare eventuali tag al backup durante la creazione del backup.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
L'fsx:TagResourceazione viene valutata solo se i tag vengono applicati durante l'azione di creazione della risorsa. Pertanto, un utente che dispone delle autorizzazioni per creare una risorsa (presupponendo che non vi siano condizioni di etichettatura) non necessita dell'autorizzazione per utilizzare l'fsx:TagResourceazione se nella richiesta non sono specificati tag. Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta ha esito negativo se non dispone delle autorizzazioni per utilizzare l'operazione fsx:TagResource.
Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon, consultaTagging delle risorse Amazon FSx.. Per ulteriori informazioni sull'uso dei tag per controllare l'accesso alle FSx risorse di Amazon, consultaUtilizzo dei tag per controllare l'accesso alle FSx risorse Amazon.
Utilizzo dei tag per controllare l'accesso alle FSx risorse Amazon
Per controllare l'accesso alle FSx risorse e alle azioni di Amazon, puoi utilizzare IAM policy basate sui tag. È possibile fornire il controllo in due modi:
-
Puoi controllare l'accesso alle FSx risorse Amazon in base ai tag presenti su tali risorse.
-
Puoi controllare quali tag possono essere passati in una condizione di IAM richiesta.
Per informazioni su come utilizzare i tag per controllare l'accesso alle AWS risorse, consulta Controllare l'accesso tramite tag nella Guida per l'IAMutente. Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon al momento della creazione, consultaConcessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione. Per ulteriori informazioni sull'assegnazione di tag alle risorse, consulta Tagging delle risorse Amazon FSx..
Controllo dell'accesso in base ai tag di una risorsa
Per controllare quali azioni un utente o un ruolo può eseguire su una FSx risorsa Amazon, puoi utilizzare i tag sulla risorsa. Ad esempio, potresti voler consentire o negare API operazioni specifiche su una risorsa del file system in base alla coppia chiave-valore del tag sulla risorsa.
Esempio Politica di esempio: crea un file system solo quando viene utilizzato un tag specifico
Questa politica consente all'utente di creare un file system solo quando lo contrassegna con una coppia chiave-valore di tag specifica, in questo esempio,key=Department. value=Finance
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
Esempio Politica di esempio: crea backup solo di Amazon FSx per NetApp ONTAP volumi con un tag specifico
Questa politica consente agli utenti di creare backup solo FSx per i ONTAP volumi etichettati con la coppia chiave-valore,. key=Department value=Finance Il backup viene creato con il tag. Department=Finance
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Esempio Politica di esempio: crea un volume con un tag specifico dai backup con un tag specifico
Questa politica consente agli utenti di creare volumi con tag Department=Finance solo a partire da backup contrassegnati con. Department=Finance
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
Esempio Politica di esempio: eliminare i file system con tag specifici
Questa politica consente a un utente di eliminare solo i file system contrassegnati conDepartment=Finance. Se creano un backup finale, deve essere contrassegnato conDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
Esempio Politica di esempio: elimina un volume con tag specifici
Questa politica consente a un utente di eliminare solo i volumi contrassegnati conDepartment=Finance. Se creano un backup finale, deve essere taggato conDepartment=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
