本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在亚马逊 EFS 中使用标签
您可以使用标签的访问(Amazon EFS 资源的访问(Amazon EFS 资源的访问。有关更多信息,请参阅:
什么是适用于的 ABACAWS? 在 IAM 用户指南中
注意
Amazon EFS 复制不支持使用标签的访问控制 (Amazon EFS)。
要在创建期间向 Amazon EFS 资源应用标签,用户必须具有特定AWS Identity and Access Management (IAM) 权限。
在创建过程中授予权限。
以下标签的 Amazon EFS 操作允许您在创建资源时指定标签。
-
CreateAccessPoint
-
CreateFileSystem
为使用户能够在创建时为资源添加标签,他们必须具有使用创建该资源的操作(如elasticfilesystem:CreateAccessPoint
或)的权限elasticfilesystem:CreateFileSystem
。如果在资源创建操作中指定AWS了标签,以验证用户是否具备创建标签的权限。elasticfilesystem:TagResource
因此,用户还必须具有使用 elasticfilesystem:TagResource
操作的显式权限。
在 elasticfilesystem:TagResource
操作的 IAM policy 定义中,使用带有 Condition
条件键的 elasticfilesystem:CreateAction
元素,为创建资源的操作授予添加标签的权限。
例 策略:仅允许在创建时向文件系统添加标签。
以下示例策略仅允许用户创建时向应用标签。用户无权标记任何现有资源 (他们无法直接调用 elasticfilesystem:TagResource
操作)。
{ "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem" ], "Resource": "arn:aws:elasticfilesystem:
region
:account-id
:file-system/*" }, { "Effect": "Allow", "Action": [ "elasticfilesystem:TagResource" ], "Resource": "arn:aws:elasticfilesystem:region
:account-id
:file-system/*", "Condition": { "StringEquals": { "elasticfilesystem:CreateAction": "CreateFileSystem" } } } ] }
使用标签的访问 Amazon EFS 资源的访问。
要控制对 Amazon EFS 资源和操作的访问权限,您可以使用基于标签的 IAM 策略。您可以通过两种方式提供此控制:
-
您可以根据对 Azon EFS 资源上的标签的访问。
-
您可以控制可以在 IM 请求条件中传递。
有关如何使用标签控制AWS资源访问权限的信息,请参阅 IAM 用户指南中的使用标签控制访问权限。
根据资源上的标签的访问,对资源上的标签的访问。
要控制用户或角色可以在 Amazon EFS 资源上执行哪些操作,您可以使用资源上的标签。例如,您可能希望根据资源上标签的键值对来允许或拒绝对文件系统资源执行特定 API 操作。
例 策略:仅在使用特定标签时创建文件系统
以下示例策略仅允许用户使用特定的标签键值对来标记文件系统时创建文件系统,在本示例中为key=Department
,value=Finance
。
{ "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:TagResource" ], "Resource": "arn:aws:elasticfilesystem:
region
:account-id
:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
例 策略:删除带有特定标签的文件系统
以下示例策略仅允许用户删除标有标签的文件系统Department=Finance
。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:DeleteFileSystem" ], "Resource": "arn:aws:elasticfilesystem:
region
:account-id
:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }