As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como usar tags com o Amazon FSx
É possível usar tags para controlar o acesso aos recursos do Amazon FSx e implementar o controle de acesso por atributo (ABAC). Para aplicar tags aos recursos do Amazon FSx durante a criação, os usuários devem ter determinadas permissões do AWS Identity and Access Management (IAM).
Conceder permissão para marcar recursos durante a criação
Com algumas ações de criação de recursos da API do Amazon FSx, você pode especificar tags quando cria o recurso. É possível usar essas tags de recurso para implementar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
Para permitir que os usuários marquem recursos na criação, eles devem ter permissão para usar a ação que cria o recurso, como fsx:CreateFileSystem, fsx:CreateStorageVirtualMachine ou fsx:CreateVolume. Se tags forem especificadas na ação de criação do recurso, o IAM executará autorização adicional na ação fsx:TagResource para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação fsx:TagResource.
O exemplo de política a seguir permite que os usuários criem sistemas de arquivos e máquinas virtuais de armazenamento (SVMs) e apliquem tags a eles durante a criação em um determinado Conta da AWS local.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }
Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
A ação fsx:TagResource só será avaliada se as tags forem aplicadas durante a ação de criação do recurso. Portanto, um usuário que tiver permissões para criar um recurso (supondo que não existam condições de tag) não precisará de permissão para usar a ação fsx:TagResource se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação fsx:TagResource.
Para obter mais informações sobre como marcar recursos do Amazon FSx, consulte Marcar os recursos do Amazon FSx. Para obter mais informações sobre como usar tags para controlar o acesso aos recursos do Amazon FSx, consulte Como usar tags para controlar o acesso aos seus recursos do Amazon FSx.
Como usar tags para controlar o acesso aos seus recursos do Amazon FSx
Para controlar o acesso a recursos e ações do Amazon FSx, você pode usar políticas do IAM baseadas em tags. É possível conceder o controle de duas formas:
-
Você pode controlar o acesso aos recursos do Amazon FSx com base nas tags desses recursos.
-
Controle quais tags podem ser transmitidas em uma condição de solicitação do IAM.
Para obter informações sobre como usar tags para controlar o acesso aos AWS recursos, consulte Como controlar o acesso usando tags no Guia do usuário do IAM. Para obter mais informações sobre como marcar recursos do Amazon FSx no momento da criação, consulte Conceder permissão para marcar recursos durante a criação. Para obter mais informações sobre como marcar recursos, consulte Marcar os recursos do Amazon FSx.
Como controlar o acesso com base em tags em um recurso
Para controlar quais ações um usuário ou um perfil pode executar em um recurso do Amazon FSx, é possível usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par de chave/valor da tag no recurso.
exemplo Exemplo de política: criar um sistema de arquivos somente quando uma tag específica for usada
Essa política permite que o usuário só crie um sistema de arquivos quando o marcar com um par de chave/valor de tag específico, neste exemplo, key=Department, value=Finance.
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
exemplo Exemplo de política — Crie backups somente dos volumes Amazon FSx for NetApp ONTAP com uma tag específica
Essa política permite que os usuários só criem backups de volumes do FSx para ONTAP marcados com o par de chave/valor key=Department, value=Finance. O backup é criado com a tag Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
exemplo Exemplo de política: criar um volume com uma tag específica usando backups com uma tag específica
Essa política só permite que os usuários criem volumes marcados com Department=Finance usando backups marcados com Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
exemplo Exemplo de política: excluir sistemas de arquivos com tags específicas
Essa política só permite que o usuário exclua sistemas de arquivos marcados com Department=Finance. Se um backup final for criado, ele deverá ser marcado com Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
exemplo Exemplo de política: excluir um volume com tags específicas
Essa política só permite que o usuário exclua volumes marcados com Department=Finance. Se um backup final for criado, ele deverá ser marcado com Department=Finance.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
