As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar tags para controlar o acesso ao gateway e aos recursos do
Para controlar o acesso a ações e recursos do gateway, você pode usar políticas do AWS Identity and Access Management (IAM) baseadas em tags. É possível conceder o controle de duas formas:
-
Controlar o acesso aos recursos do gateway com base nas tags desses recursos.
-
Controlar quais tags podem ser transmitidas em uma condição de solicitação do IAM.
Para obter informações sobre como usar tags para controlar o acesso, consulte Controle do acesso usando tags.
Controlar o acesso com base em tags em um recurso
Para controlar quais ações um usuário ou uma função pode executar em um recurso de gateway, é possível usar tags nesses recursos. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso de gateway de arquivos com base no par de chave/valor da tag no recurso.
O exemplo a seguir permite que um usuário ou uma função execute as ações ListTagsForResource, ListFileShares e DescribeNFSFileShares em todos os recursos. A política será aplicada somente se a tag no recurso tiver sua chave definida como allowListAndDescribe e o valor definido como yes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "storagegateway:ListTagsForResource", "storagegateway:ListFileShares", "storagegateway:DescribeNFSFileShares" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/allowListAndDescribe": "yes" } } }, { "Effect": "Allow", "Action": [ "storagegateway:*" ], "Resource": "arn:aws:storagegateway:region:account-id:*/*" } ] }
Controlar o acesso com base em tags em uma solicitação do IAM
Para controlar o que um usuário do IAM pode fazer um recurso de gateway, é possível usar as condições em uma política do IAM baseada em tags. Por exemplo, você pode criar uma política que permita ou negue a um usuário do IAM a capacidade de executar operações de API específicas com base na tag fornecida na criação do recurso.
No exemplo a seguir, a primeira instrução permitirá que um usuário crie um gateway somente se o par de chave/valor da tag fornecida na criação do gateway for Department e Finance. Ao usar a operação da API, você adiciona essa tag à solicitação de ativação.
A segunda instrução permite que o usuário crie um compartilhamento de arquivos Network File System (NFS) ou Server Message Block (SMB) em um gateway somente se o par de chave/valor da tag no gateway corresponder aDepartmenteFinance. Além disso, o usuário deverá adicionar uma tag ao compartilhamento de arquivos e o par de chave/valor da tag deverá ser Department e Finance. Você adiciona tags a um compartilhamento de arquivos ao criar o compartilhamento de arquivos. Não há permissões para as operações RemoveTagsFromResource e AddTagsToResource, portanto, o usuário não pode executar essas operações no gateway nem no compartilhamento de arquivos.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "storagegateway:ActivateGateway" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:RequestTag/Department":"Finance" } } }, { "Effect":"Allow", "Action":[ "storagegateway:CreateNFSFileShare", "storagegateway:CreateSMBFileShare" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Department":"Finance", "aws:RequestTag/Department":"Finance" } } } ] }
