Recursos de tags durante a criação Controlar acesso usando tags tags Controlar acesso usando etiquetas

Usando tags com o Amazon EFS

Você pode usar tags para controlar o acesso aos recursos do Amazon EFS e implementar o controle de acesso baseado em atributo (ABAC). Para obter mais informações, consulte:

Marcar recursos do Amazon EFS
Controlar o acesso com base em tags de um recurso
O que é ABAC para aAWS? no Guia do usuário do IAM

nota

A replicação do Amazon EFS não oferece suporte ao uso tags para o controle de acesso baseado em atributo (ABAC).

Para aplicar tags aos recursos do Amazon EFS durante a criação, os usuários devem ter certas permissõesAWS Identity and Access Management (IAM).

Conceder permissões para marcar recursos durante a criação

As ações de tags de criação de tags a seguir do Amazon EFS do Amazon EFS do permitem especificar tags quando você cria o recurso.

CreateAccessPoint
CreateFileSystem

Para permitir que os usuários marquem recursos na criação, eles devem ter permissões para usar a ação que cria os recursos, comoelasticfilesystem:CreateAccessPoint ouelasticfilesystem:CreateFileSystem. Se as tags forem especificadas na ação resource-creating,AWS executará autorização adicional naelasticfilesystem:TagResource ação para verificar se os usuários têm permissão para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação elasticfilesystem:TagResource.

Na definição de política do IAM para a ação elasticfilesystem:TagResource, use o elemento Condition com a chave de condição elasticfilesystem:CreateAction para conceder permissões de marcação à ação que cria o recurso.

exemplo política: permitir adicionar tags aos sistemas de arquivos somente no momento da criação

O exemplo a seguir permite que os usuários criem sistemas de arquivos e apliquem tags a eles somente durante a criação. Os usuários não têm permissão para marcar recursos existentes (não podem chamar a ação elasticfilesystem:TagResource diretamente).


{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}

Usar tags para controlar o acesso aos seus recursos do Amazon EFS

Para controlar o acesso aos recursos e ações do Amazon EFS, você pode usar políticas do IAM com base em tags. É possível fornecer esse controle de duas maneiras:

É possível controlar o acesso aos recursos do Amazon EFS da com base nas tags desses recursos.
É possível controlar quais tags podem ser transmitidos em uma condição de solicitação do IAM.

Para obter informações sobre como usar tags para controlar o acesso aosAWS recursos, consulte Controle do acesso usando tags no Guia do usuário do IAM.

Controlar o acesso com base em tags de um recurso

Para controlar quais ações um usuário ou função pode realizar em um recurso do Amazon EFS, você pode usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par chave-valor da tag no recurso.

exemplo política: crie um sistema de arquivos somente quando uma tag específica for usada

O exemplo de política a seguir permite que o usuário crie um sistema de arquivos somente quando o marca com um par de valores-chave de tag específico, neste exemplo,key=Department,value=Finance.


{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}

exemplo política: excluir sistemas de arquivos com tags específicas

O exemplo a seguir permite que um usuário exclua somente os sistemas de arquivos tags com tagsDepartment=Finance.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Políticas gerenciadas pela AWS

Uso de funções vinculadas ao serviço para o Amazon EFS