搭配 Amazon FSx 使用標籤

您可以使用標籤來控制對 Amazon FSx 資源的存取，以及實作屬性型存取控制 (ABAC)。若要在建立期間將標籤套用至 Amazon FSx 資源，使用者必須具有特定 AWS Identity and Access Management (IAM) 許可。

在建立期間授予標籤資源的許可

透過一些建立資源的 Amazon FSx for Lustre API 動作，您可以在建立資源時指定標籤。您可以使用這些資源標籤來實作屬性型存取控制 (ABAC)。如需詳細資訊，請參閱《IAM 使用者指南》中的 ABAC for AWS？。

若要讓使用者在建立時標記資源，他們必須擁有使用建立資源之動作的許可，例如 fsx:CreateFileSystem。如果在資源建立動作中指定標籤，IAM 會對fsx:TagResource動作執行額外的授權，以驗證使用者是否具有建立標籤的許可。因此，使用者必須同時具備使用 fsx:TagResource 動作的明確許可。

下列範例政策可讓使用者在特定 中建立檔案系統，並在建立期間將標籤套用至這些系統 AWS 帳戶。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateFileSystem",
         "fsx:TagResource"       
      ],
      "Resource": [
         "arn:aws:fsx:region:account-id:file-system/*"
      ]
    }
  ]
}

同樣地，以下政策允許使用者在特定檔案系統上建立備份，並在備份建立期間將任何標籤套用至備份。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "fsx:CreateBackup"
      ],
      "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "fsx:TagResource"
      ],
      "Resource": "arn:aws:fsx:region:account-id:backup/*"
    }
  ]
}

只有在資源建立fsx:TagResource動作期間套用標籤時，才會評估動作。因此，如果請求中未指定標籤，則具有建立資源許可 （假設沒有標記條件） 的使用者不需要使用 fsx:TagResource動作的許可。然而，若該使用者試圖建立具有標籤的資源卻未具備使用 fsx:TagResource 動作的許可，則該請求會失敗。

如需標記 Amazon FSx 資源的詳細資訊，請參閱 標記您的 Amazon FSx for Lustre 資源。如需使用標籤控制 Amazon FSx for Lustre 資源存取的詳細資訊，請參閱 使用標籤來控制對 Amazon FSx 資源的存取。

使用標籤來控制對 Amazon FSx 資源的存取

若要控制對 Amazon FSx 資源和動作的存取，您可以根據標籤使用 IAM 政策。您可以透過兩個方式提供控制：

• 您可以根據這些資源上的標籤來控制對 Amazon FSx 資源的存取。

• 您可以控制在 IAM 請求條件中傳遞的標籤。

如需如何使用標籤控制對 AWS 資源的存取的資訊，請參閱《IAM 使用者指南》中的使用標籤控制存取。如需在建立時標記 Amazon FSx 資源的詳細資訊，請參閱在建立期間授予標籤資源的許可。如需標記資源的詳細資訊，請參閱 標記您的 Amazon FSx for Lustre 資源。

根據資源的標籤控制存取

若要控制使用者或角色可以在 Amazon FSx 資源上執行的動作，您可以在資源上使用標籤。例如，您可能想要根據資源上標籤的金鑰值組，允許或拒絕檔案系統資源上的特定 API 操作。

範例政策 – 提供特定標籤時在 上建立檔案系統

此政策允許使用者建立檔案系統，但只有在它們使用特定標籤索引鍵值對標記時，才會建立該檔案系統，在此範例中為 key=Department, value=Finance。

{
    "Effect": "Allow",
    "Action": [
        "fsx:CreateFileSystem",
        "fsx:TagResource"
    ],
    "Resource": "arn:aws:fsx:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}

範例政策 – 僅在具有特定標籤的檔案系統上建立備份

此政策允許使用者僅在以金鑰值對 標記的檔案系統上建立備份key=Department, value=Finance，並使用標籤 建立備份Deparment=Finance。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:TagResource",
                "fsx:CreateBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
     
    ]
}

範例政策 – 從具有特定標籤的備份建立具有特定標籤的檔案系統

此政策允許使用者建立Department=Finance僅從使用 標記的備份中標記的檔案系統Department=Finance。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateFileSystemFromBackup"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}

範例政策 – 刪除具有特定標籤的檔案系統

此政策允許使用者僅刪除已標記 的檔案系統Department=Finance。如果他們建立最終備份，則必須使用 標記Department=Finance。對於 FSx for Lustre 檔案系統，使用者需要 fsx:CreateBackup權限才能建立最終備份。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:DeleteFileSystem"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateBackup",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:backup/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}

範例政策 – 在具有特定標籤的檔案系統上建立資料儲存庫任務

此政策可讓使用者建立以 標記的資料儲存庫任務Department=Finance，且僅適用於以 標記的檔案系統Department=Finance。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateDataRepositoryTask"
            ],
            "Resource": "arn:aws:fsx:region:account-id:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "fsx:CreateDataRepositoryTask",
                "fsx:TagResource"
            ],
            "Resource": "arn:aws:fsx:region:account-id:task/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Department": "Finance"
                }
            }
        }
    ]
}