Usare i tag con Amazon FSx - File server Amazon FSx per Windows
Tag di risorse durante la creazioneControllo degli accessi tramite tag

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usare i tag con Amazon FSx

Puoi utilizzare i tag per controllare l'accesso alle FSx risorse Amazon e implementare il controllo degli accessi basato sugli attributi (). ABAC Gli utenti devono avere l'autorizzazione per applicare tag alle FSx risorse Amazon durante la creazione.

Concessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione

Alcune azioni FSx API Amazon per la creazione di risorse ti consentono di specificare i tag quando crei la risorsa. Puoi utilizzare i tag delle risorse per implementare il controllo degli accessi basato sugli attributi (). ABAC Per ulteriori informazioni, consulta Cosa serve AWS nella Guida ABAC per l'IAMutente.

Per consentire agli utenti di applicare tag alle risorse durante la creazione, essi devono disporre delle autorizzazioni per utilizzare l'operazione che crea la risorsa, come fsx:CreateFileSystem o fsx:CreateBackup. Se i tag vengono specificati nell'azione di creazione delle risorse, Amazon esegue autorizzazioni aggiuntive per l'azione fsx:TagResource per verificare se gli utenti dispongono delle autorizzazioni per creare tag. Pertanto, gli utenti devono disporre anche delle autorizzazioni esplicite per utilizzare l'operazione fsx:TagResource.

L'esempio seguente illustra una politica che consente agli utenti di creare file system e applicare tag ai file system durante la creazione di un file specifico Account AWS.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateFileSystem",
         "fsx:TagResource"         
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/*"
    }
  ]
}

Analogamente, la seguente policy consente agli utenti di creare backup su un file system specifico e di applicare eventuali tag al backup durante la creazione del backup.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateBackup"
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:region:account-id:backup/*"
    }
  ]
}

L'operazione fsx:TagResource viene valutata solo se i tag vengono applicati durante l'operazione di creazione di risorse. Pertanto, un utente con le autorizzazioni per la creazione di una risorsa (presupponendo che non siano presenti condizioni di assegnazione di tag) non necessità delle autorizzazioni per utilizzare l'operazione fsx:TagResource se nella richiesta non viene specificato alcun tag. Tuttavia, se l'utente tenta di creare una risorsa con tag, la richiesta ha esito negativo se non dispone delle autorizzazioni per utilizzare l'operazione fsx:TagResource.

Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon, consultaTaggare le tue risorse Amazon FSx. Per ulteriori informazioni sull'uso dei tag per controllare l'accesso alle FSx risorse, consultaUtilizzo dei tag per controllare l'accesso alle FSx risorse Amazon.

Utilizzo dei tag per controllare l'accesso alle FSx risorse Amazon

Per controllare l'accesso alle FSx risorse e alle azioni di Amazon, puoi utilizzare le politiche AWS Identity and Access Management (IAM) basate sui tag. È possibile fornire il controllo in due modi:

  1. Controlla l'accesso alle FSx risorse Amazon in base ai tag presenti su tali risorse.

  2. Controlla quali tag possono essere passati in una condizione di IAM richiesta.

Per informazioni su come utilizzare i tag per controllare l'accesso alle AWS risorse, consulta Controllare l'accesso tramite tag nella Guida per l'IAMutente. Per ulteriori informazioni sull'etichettatura FSx delle risorse Amazon al momento della creazione, consultaConcessione dell'autorizzazione all'applicazione di tag per le risorse durante la creazione. Per ulteriori informazioni sull'assegnazione di tag alle risorse, consulta Taggare le tue risorse Amazon FSx.

Controllo dell'accesso in base ai tag di una risorsa

Per controllare le azioni che un utente o un ruolo può eseguire su una FSx risorsa Amazon, puoi utilizzare i tag sulla risorsa. Ad esempio, potresti voler consentire o negare API operazioni specifiche su una risorsa del file system in base alla coppia chiave-valore del tag sulla risorsa.

Esempio policy: crea un file system attivo quando fornisci un tag specifico

Questa politica consente all'utente di creare un file system solo quando lo contrassegna con una coppia chiave-valore specifica, in questo esempiokey=Department, value=Finance.

{
    "Effect": "Allow",
    "Action": [
        "fsx:CreateFileSystem",
        "fsx:TagResource"
    ],
    "Resource": "arn:aws:fsx:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
Esempio policy — Crea backup solo dei FSx file system Amazon con un tag specifico

Questa policy consente agli utenti di creare backup solo dei file system etichettati con la coppia key=Department, value=Finance chiave-valore e il backup verrà creato con il tag. Deparment=Finance

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource",
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
     
    ]
}
Esempio policy: crea un file system con un tag specifico dai backup con un tag specifico

Questa politica consente agli utenti di creare file system etichettati con Department=Finance solo a partire da backup contrassegnati con. Department=Finance

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
Esempio policy: elimina i file system con tag specifici

Questa politica consente a un utente di eliminare solo i file system contrassegnati conDepartment=Finance. Se creano un backup finale, deve essere contrassegnato conDepartment=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:DeleteFileSystem"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}