本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon 上使用標籤 FSx
您可以使用標籤來控制對 Amazon FSx 資源的存取,以及實作以屬性為基礎的存取控制 () ABAC。若要在建立期間將標籤套用至 Amazon FSx 資源,使用者必須擁有特定的 AWS Identity and Access Management (IAM) 許可。
在建立期間授予標籤資源的許可
透過一些資源建立 Amazon FSx API 動作,您可以在建立資源時指定標籤。您可以使用這些資源標籤來實作以屬性為基礎的存取控制 () ABAC。如需詳細資訊,請參閱有什麼ABAC用途 AWS? 在《IAM使用者指南》中。
若要讓使用者在建立時標記資源,他們必須具有使用建立資源之動作的權限fsx:CreateFileSystem,例如fsx:CreateStorageVirtualMachine、或fsx:CreateVolume。如果在資源建立動作中指定了標籤,請對動作IAM執行其他授權,以確認使用者是否具有建立標籤的權限。fsx:TagResource因此,使用者必須同時具備使用 fsx:TagResource 動作的明確許可。
下列範例原則可讓使用者建立檔案系統和儲存區虛擬機器 (SVMs),並在特定建立期間將標記套用至其 AWS 帳戶。
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }
同樣地,下列原則允許使用者在特定檔案系統上建立備份,並在備份建立期間將任何標記套用至備份。
{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }
只有在資源建立fsx:TagResource動作期間套用標籤時,才會評估動作。因此,具有建立資源權限的使用者 (假設沒有標記條件),如果要求中未指定標籤,則不需要使用fsx:TagResource動作的權限。然而,若該使用者試圖建立具有標籤的資源卻未具備使用 fsx:TagResource 動作的許可,則該請求會失敗。
如需標記 Amazon FSx 資源的詳細資訊,請參閱標記 Amazon FSx 資源。如需使用標籤控制 Amazon FSx 資源存取權的詳細資訊,請參閱使用標籤來控制對 Amazon FSx 資源的訪問。
使用標籤來控制對 Amazon FSx 資源的訪問
若要控制對 Amazon FSx 資源和動作的存取,您可以根據標籤使用IAM政策。您可以透過兩個方式提供控制:
-
您可以根據這些FSx資源上的標籤控制對 Amazon 資源的存取。
-
您可以控制哪些標籤可以在IAM要求條件中傳遞。
有關如何使用標籤來控制 AWS 資源存取的詳細資訊,請參閱《使用指南》中的〈使IAM用標籤控制存取〉。如需有關在建立時標記 Amazon FSx 資源的詳細資訊,請參閱在建立期間授予標籤資源的許可。如需標記資源的詳細資訊,請參閱 標記 Amazon FSx 資源。
根據資源的標籤控制存取
若要控制使用者或角色可在 Amazon FSx 資源上執行哪些動作,您可以在資源上使用標籤。例如,您可能想要根據資源上標籤的索引鍵值配對,允許或拒絕檔案系統資源上的特定API作業。
範例原則 — 僅在使用特定標籤時建立檔案系統
這個原則允許使用者建立檔案系統,只有在使用特定的標籤索引鍵值組來標記檔案系統時,在此範例中為key=Department、value=Finance。
{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
範例政策 — 僅為具有特定標籤FSx的 NetApp ONTAP磁碟區建立 Amazon 備份
此原則允許使用者僅為標記FSx為鍵值配對key=Department的ONTAP磁碟區建立備份。value=Finance備份是使用標籤創建的Department=Finance。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
範例原則 — 使用特定標籤從備份建立具有特定標籤的磁碟區
此原則允許使用者建立Department=Finance僅從標記為標記的備份中標記的磁碟區Department=Finance。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
範例原則 — 刪除具有特定標籤的檔案系統
此原則允許使用者僅刪除標記為的檔案系統Department=Finance。如果他們創建了最終備份,則必須使用標記Department=Finance。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
範例原則 — 刪除具有特定標記的磁碟區
此原則允許使用者僅刪除標記為的磁碟區Department=Finance。如果他們創建了最終備份,則必須使用標記Department=Finance。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
