Amazon EFS でタグを使用する - Amazon Elastic File System
リソース作成時のタグ付けタグを使用したアクセスコントロールタグを使用したアクセスコントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EFS でタグを使用する

タグを使用すると、Amazon EFS リソースへのアクセスをコントロールしたり、属性ベースのアクセスコントロール (AFS でアクセスコントロール) を実装したりできます。詳細については、以下を参照してください。

注記

Amazon EFS でタグを使用することはサポートされていません。

作成中に Amazon EFS リソースにタグを適用するには、ユーザーは特定のAWS Identity and Access Management (IAM) アクセス権限を持っている必要があります。

リソース作成時にタグ付けするアクセス権限の付与

次のタグオン作成 Amazon EFS でを使用する。タグを指定できます。

  • CreateAccessPoint

  • CreateFileSystem

ユーザーが作成時にリソースにタグを付けることができるようにするには、elasticfilesystem:CreateAccessPointまたはなどのリソースを作成するアクションを使用するためのアクセス許可が必要ですelasticfilesystem:CreateFileSystem。タグがリソース作成アクションで指定されている場合、AWSアクションで追加の承認を実行してユーザーがタグを作成するアクセス権限を持っているかどうかを確認します。elasticfilesystem:TagResourceそのため、ユーザーには、elasticfilesystem:TagResource アクションを使用する明示的なアクセス権限が必要です。

elasticfilesystem:TagResource アクションの IAM ポリシー定義で、Condition 要素と elasticfilesystem:CreateAction 条件キーを使用して、リソースを作成するアクションにタグ付けのアクセス許可を付与します。

例 ポリシー:作成時にのみファイルシステムへのタグの追加を許可する

次のポリシー例では、ユーザーがファイルシステムを作成し、作成時にのみタグを適用することを許可します。ユーザーには、既存のリソースへのタグ付けが許可されません (elasticfilesystem:TagResource アクションを直接呼び出すことはできません)。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}

タグを使用した Amazon EFS リソースへのアクセスのコントロール

Amazon EFS リソースとアクションへのアクセスをコントロールするには、タグに基づいて IAFS ポリシーを使用できます。コントロールは 2 つの方法で可能です。

  • それらのリソースのタグに基づいて、Amazon EFS へのアクセスをコントロールできます。

  • IAM リクエストの条件でどのタグを渡すかをコントロールできます。

AWS リソースへのアクセスをコントロールするためのタグの使用については、「IAM ユーザーガイド」の「タグを使用したアクセスのコントロール」を参照してください。

リソースのタグに基づいてアクセスをコントロールする

ユーザーまたはロールが Amazon EFS リソースで実行できるアクションをコントロールするには、リソースでタグを使用できます。例えば、リソースのタグのキーバリューのペアに基づいて、ファイルシステムリソースに対する特定の API オペレーションを許可または拒否することが必要な場合があります。

例 ポリシー:特定のタグが使用されている場合にのみファイルシステムを作成する

次のポリシー例では、ユーザーがファイルシステムを作成できるのは、特定のタグキーと値のペア(この例ではkey=Department、)でタグ付けした場合のみですvalue=Finance

{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
例 ポリシー:特定のタグを持つファイルシステムを削除する

次のポリシー例では、Department=Financeユーザーがタグ付けされたファイルシステムのみを削除することを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}