Amazon EFS でのタグの使用 - Amazon Elastic File System
リソース作成時のタグ付けタグを使用したアクセスコントロールタグを使用したアクセスコントロール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EFS でのタグの使用

タグを使用すると、Amazon EFS リソースへのアクセスをコントロールしたり、属性ベースのアクセスコントロール (ABAC) を実装したりできます。詳細については、以下を参照してください。

注記

Amazon EFS レプリケーションは、属性ベースのアクセス制御 (ABAC) でのタグの使用をサポートしていません。

作成中に Amazon EFS リソースにタグを適用するには、ユーザーは特定の AWS Identity and Access Management (IAM) 許可を持っている必要があります。

リソース作成時にタグ付けするアクセス許可の付与

次の作成時のタグ付けの Amazon EFS API アクションを使用すると、リソースの作成時にタグを指定できます。

  • CreateAccessPoint

  • CreateFileSystem

ユーザーが作成時にリソースにタグを付けることができるようにするには、elasticfilesystem:CreateAccessPointelasticfilesystem:CreateFileSystem などのリソースを作成するアクションを使用するためのアクセス許可が必要です。リソース作成アクションでタグが指定されている場合、 はelasticfilesystem:TagResourceアクションに対して追加の認可 AWS を実行して、ユーザーがタグを作成するアクセス許可を持っているかどうかを確認します。そのため、ユーザーにはelasticfilesystem:TagResource アクションを使用する明示的なアクセス権限が必要です。

elasticfilesystem:TagResource アクションの IAM ポリシー定義で、Condition 要素と elasticfilesystem:CreateAction 条件キーを使用して、リソースを作成するアクションにタグ付けのアクセス許可を付与します。

例 ポリシー: 作成時にのみファイルシステムにタグを追加できるようにする

次のポリシー例では、ユーザーがファイルシステムを作成し、作成時にのみタグを適用するようにします。ユーザーには既存のリソースへのタグ付けが許可されません (elasticfilesystem:TagResource アクションを直接呼び出すことはできません)。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}

タグを使用した Amazon EFS リソースへのアクセスのコントロール

Amazon EFS とアクションへのアクセスをコントロールするには、タグに基づいて IAM ポリシーを使用できます。コントロールは 2 つの方法で可能です。

  • それらのリソースのタグに基づいて、Amazon EFS へのアクセスをコントロールできます。

  • IAM リクエストの条件でどのタグを渡すかをコントロールできます。

タグを使用して AWS リソースへのアクセスを制御する方法については、IAM ユーザーガイドタグを使用したアクセスの制御を参照してください。

リソースのタグに基づいてアクセスをコントロールする

ユーザーまたはロールが Amazon EFS リソースで実行できるアクションをコントロールするには、リソースでタグを使用できます。例えば、リソースのタグのキーバリューのペアに基づいて、ファイルシステムリソースに対する特定の API オペレーションを許可または拒否することが必要な場合があります。

例 ポリシー: 特定のタグが使用されている場合にのみファイルシステムを作成する

このポリシー例により、ユーザーは、特定のタグとキーと値のペア (この例では、key=Departmentvalue=Finance) でタグ付けした場合にのみ、ファイルシステムを作成できます。

{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
例 ポリシー: 特定のタグを持つファイルシステムを削除する

このポリシー例により、ユーザーは Department=Finance でタグ付けされたファイルシステムのみを削除できます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}