Como usar tags com o Amazon FSx - Amazon FSx for Windows File Server
Recursos de tags durante a criaçãoControle de acesso usando tags

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar tags com o Amazon FSx

É possível usar tags para controlar o acesso aos recursos do Amazon FSx e implementar o controle de acesso por atributo (ABAC). Os usuários precisam ter permissão para aplicar tags aos recursos do Amazon FSx durante a criação.

Conceder permissão para marcar recursos durante a criação

Algumas ações da API do Amazon FSx para criação de recursos permitem que você especifique tags ao criar o recurso. É possível usar tags de recursos para implantar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte O que é ABAC para a AWS? no Guia do usuário do IAM.

Para permitir que os usuários marquem recursos na criação, eles devem ter permissões para usar a ação que cria o recurso, como fsx:CreateFileSystem ou fsx:CreateBackup. Se as tags forem especificadas na ação resource-creating, a Amazon executará autorização adicional na ação fsx:TagResource para verificar se os usuários têm permissões para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação fsx:TagResource.

O exemplo a seguir demonstra uma política que permite aos usuários criar sistemas de arquivos e aplicar tags aos sistemas de arquivos durante a criação em um sistema específico Conta da AWS.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateFileSystem",
         "fsx:TagResource"         
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/*"
    }
  ]
}

Da mesma forma, a política a seguir permite que os usuários criem backups em um sistema de arquivos específico e apliquem qualquer tag ao backup durante a criação do backup.

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateBackup"
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:region:account-id:backup/*"
    }
  ]
}

A ação fsx:TagResource será avaliada somente se as tags forem aplicadas durante a ação resource-creating. Portanto, um usuário que tiver permissões para criar um recurso (pressupondo-se que não existam condições de marcação) não precisa de permissão para usar a ação fsx:TagResource se nenhuma tag for especificada na solicitação. Contudo, se o usuário tentar criar um recurso com tags, haverá falha na solicitação se o usuário não tiver permissão para usar a ação fsx:TagResource.

Para obter mais informações sobre como marcar recursos do Amazon FSx, consulte Marcar os recursos do Amazon FSx. Para obter mais informações sobre o uso de tags para controlar o acesso aos recursos do FSx, consulte Como usar tags para controlar o acesso aos seus recursos do Amazon FSx.

Como usar tags para controlar o acesso aos seus recursos do Amazon FSx

Para controlar o acesso aos recursos e ações do Amazon FSx, você pode usar políticas AWS Identity and Access Management (IAM) com base em tags. É possível conceder o controle de duas formas:

  1. Controle o acesso aos recursos do Amazon FSx com base nas tags desses recursos.

  2. Controlar quais tags podem ser transmitidas em uma condição de solicitação do IAM.

Para obter informações sobre como usar tags para controlar o acesso aos AWS recursos, consulte Como controlar o acesso usando tags no Guia do usuário do IAM. Para obter mais informações sobre como marcar recursos do Amazon FSx no momento da criação, consulte Conceder permissão para marcar recursos durante a criação. Para obter mais informações sobre como marcar recursos, consulte Marcar os recursos do Amazon FSx.

Como controlar o acesso com base em tags em um recurso

Para controlar as ações que um usuário ou perfil pode executar em um recurso do Amazon FSx, você pode usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par de chave/valor da tag no recurso.

exemplo política: criar um sistema de arquivos ao fornecer uma tag específica

Essa política permite que o usuário só crie um sistema de arquivos quando marcá-lo com um par de chave/valor de tag específico; neste exemplo, key=Department, value=Finance.

{
    "Effect": "Allow",
    "Action": [
        "fsx:CreateFileSystem",
        "fsx:TagResource"
    ],
    "Resource": "arn:aws:fsx:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
exemplo política: criar backups apenas dos sistemas de arquivos do Amazon FSx com uma tag específica

Essa política permite que os usuários criem backups somente de sistemas de arquivos marcados com o par de chave/valor key=Department, value=Finance, e o backup será criado com a tag Deparment=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource",
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
     
    ]
}
exemplo política: criar um sistema de arquivos com uma tag específica de backups com uma tag específica

Essa política permite que os usuários só criem sistemas de arquivos marcados com Department=Finance por meio de backups marcados com Department=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
exemplo política: excluir sistemas de arquivos com tags específicas

Essa política só permite que o usuário exclua sistemas de arquivos marcados com Department=Finance. Se um backup final for criado, ele deverá ser marcado com Department=Finance.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:DeleteFileSystem"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}