Usando tags com o Amazon FSx - FSx for ONTAP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando tags com o Amazon FSx

É possível usar tags para controlar o acesso aos recursos do Amazon FSx e implementar o controle de acesso baseado em atributo (ABAC). Para aplicar tags aos recursos do Amazon FSx durante a criação, os usuários devem ter certas permissõesAWS Identity and Access Management (IAM).

Conceder permissão para marcar recursos durante a criação

Com algumas ações de API do Amazon FSx que criam recursos, você pode especificar tags ao criar o recurso. É possível usar essas tags de recurso para implementar o controle de acesso baseado em atributo (ABAC). Para obter mais informações, consulte O que é ABAC para aAWS? no Guia do usuário do IAM.

Para que os usuários marquem recursos na criação, eles devem ter permissão para usar a ação que cria o recursofsx:CreateFileSystem, comofsx:CreateStorageVirtualMachine, oufsx:CreateVolume. Se as tags forem especificadas na ação de criação de recurso, o IAM executará autorização adicional nafsx:TagResource ação para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação fsx:TagResource.

O exemplo de política a seguir permite que os usuários criem sistemas de arquivos e máquinas virtuais de armazenamento (SVMs) e apliquem tags a eles durante a criação em um determinado localConta da AWS.

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }

Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }

Afsx:TagResource ação será avaliada somente se as tags forem aplicadas durante a ação de criação do recurso. Portanto, um usuário que tiver permissões para criar um recurso (pressupondo-se que não existam condições de marcação) não precisa de permissão para usar afsx:TagResource ação se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação fsx:TagResource.

Para obter mais informações sobre recursos de marcação do Amazon FSx, consulteMarcar com tag os recursos do Amazon FSx:. Para obter mais informações sobre como usar tags para controlar o acesso aos recursos do Amazon FSx, consulteUsar tags para controlar o acesso aos seus recursos do Amazon FSx.

Usar tags para controlar o acesso aos seus recursos do Amazon FSx

Para controlar o acesso aos recursos e ações do Amazon FSx, você pode usar políticas do IAM com base em tags. É possível fornecer esse controle de duas formas:

  • É possível controlar o acesso aos recursos do Amazon FSx da com base nas tags desses recursos.

  • É possível controlar quais tags podem ser transmitidas em uma condição de solicitação do IAM.

Para obter informações sobre como usar tags para controlar o acesso aosAWS recursos, consulte Controle do acesso usando tags no Guia do usuário do IAM. Para obter mais informações sobre recursos de marcação do Amazon FSx na criação, consulteConceder permissão para marcar recursos durante a criação. Para obter mais informações sobre a marcação de recursos do, consulteMarcar com tag os recursos do Amazon FSx:.

Controlar acesso com base em etiquetas de um recurso

Para controlar quais ações um usuário ou função pode realizar em um recurso do Amazon FSx, você pode usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par chave-valor da tag no recurso.

exemplo Política de exemplo — Crie um sistema de arquivos somente quando uma tag específica for usada

Essa política permite que o usuário crie um sistema de arquivos somente quando o marca com um par de valores-chave de tag específico, neste exemplo,key=Department,value=Finance.

{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
exemplo Política de exemplo — Crie backups somente do Amazon FSx para volumes NetApp ONTAP com uma tag específica

Essa política permite que os usuários criem backups somente do FSx para volumes ONTAP marcados com o par chave-valorkey=Department,value=Finance. O backup é criado com a tagDepartment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
exemplo Política de exemplo — Crie um volume com uma tag específica a partir de backups com uma tag específica

Essa política permite que os usuários criem volumes marcados comDepartment=Finance somente a partir de backups marcados comDepartment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
exemplo Política de exemplo — Excluir sistemas de arquivos com tags específicas

Esta política permite que um usuário exclua somente sistemas de arquivos marcados comDepartment=Finance. Se eles criarem um backup final, ele deverá ser marcado comDepartment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
exemplo Política de exemplo — Excluir um volume com tags específicas

Esta política permite que um usuário exclua somente volumes marcados comDepartment=Finance. Se eles criarem um backup final, ele deverá ser marcado comDepartment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }