As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Você pode usar tags para controlar o acesso aos FSx recursos da Amazon e implementar o controle de acesso baseado em atributos ()ABAC. Os usuários precisam ter permissão para aplicar tags aos FSx recursos da Amazon durante a criação.
Conceder permissão para marcar recursos durante a criação
Algumas ações da FSx API Amazon de criação de recursos permitem que você especifique tags ao criar o recurso. Você pode usar tags de recursos para implementar o controle de acesso baseado em atributos ()ABAC. Para obter mais informações, consulte ABACPara que serve AWS no Guia IAM do usuário.
Para permitir que os usuários marquem recursos na criação, eles devem ter permissões para usar a ação que cria o recurso, como fsx:CreateFileSystem
ou fsx:CreateBackup
. Se as tags forem especificadas na ação resource-creating, a Amazon executará autorização adicional na ação fsx:TagResource
para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação fsx:TagResource
.
O exemplo a seguir demonstra uma política que permite aos usuários criar sistemas de arquivos e aplicar tags aos sistemas de arquivos durante a criação em um sistema específico Conta da AWS.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region
:account-id
:file-system/*"
}
]
}
Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region
:account-id
:file-system/file-system-id
*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region
:account-id
:backup/*"
}
]
}
A ação fsx:TagResource
será avaliada somente se as tags forem aplicadas durante a ação resource-creating. Portanto, um usuário que tiver permissões para criar um recurso (pressupondo-se que não existam condições de marcação) não precisa de permissão para usar a ação fsx:TagResource
se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação fsx:TagResource
.
Para obter mais informações sobre a marcação de FSx recursos da Amazon, consulteMarcação de seus recursos do Amazon FSx. Para obter mais informações sobre o uso de tags para controlar o acesso aos FSx recursos, consulteUsando tags para controlar o acesso aos seus FSx recursos da Amazon.
Usando tags para controlar o acesso aos seus FSx recursos da Amazon
Para controlar o acesso aos FSx recursos e ações da Amazon, você pode usar políticas AWS Identity and Access Management (IAM) com base em tags. É possível conceder o controle de duas formas:
-
Controle o acesso aos FSx recursos da Amazon com base nas tags desses recursos.
-
Controle quais tags podem ser passadas em uma condição de IAM solicitação.
Para obter informações sobre como usar tags para controlar o acesso aos AWS recursos, consulte Controlar o acesso usando tags no Guia IAM do usuário. Para obter mais informações sobre a marcação de FSx recursos da Amazon no momento da criação, consulteConceder permissão para marcar recursos durante a criação. Para obter mais informações sobre como marcar recursos, consulte Marcação de seus recursos do Amazon FSx.
Como controlar o acesso com base em tags em um recurso
Para controlar quais ações um usuário ou função pode realizar em um FSx recurso da Amazon, você pode usar tags no recurso. Por exemplo, talvez você queira permitir ou negar API operações específicas em um recurso do sistema de arquivos com base no par de valores-chave da tag no recurso.
exemplo política: criar um sistema de arquivos ao fornecer uma tag específica
Essa política permite que o usuário só crie um sistema de arquivos quando marcá-lo com um par de chave/valor de tag específico; neste exemplo, key=Department, value=Finance
.
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:
region
:account-id
:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
exemplo política — Crie backups somente dos sistemas de FSx arquivos da Amazon com uma tag específica
Essa política permite que os usuários criem backups somente de sistemas de arquivos marcados com o par de chave/valor key=Department, value=Finance
, e o backup será criado com a tag Deparment=Finance
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:
region
:account-id
:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region
:account-id
:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
exemplo política: criar um sistema de arquivos com uma tag específica de backups com uma tag específica
Essa política permite que os usuários só criem sistemas de arquivos marcados com Department=Finance
por meio de backups marcados com Department=Finance
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:
region
:account-id
:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
exemplo política: excluir sistemas de arquivos com tags específicas
Essa política só permite que o usuário exclua sistemas de arquivos marcados com Department=Finance
. Se um backup final for criado, ele deverá ser marcado com Department=Finance
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:
region
:account-id
:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region
:account-id
:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }