Amazon FSx 文件网关不再向新客户开放。 FSx File Gateway 的现有客户可以继续正常使用该服务。有关与 FSx 文件网关类似的功能,请访问此博客文章
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用标签控制对网关和资源的访问权限
要控制对网关资源和操作的访问权限,您可以使用基于标签的 Amazon Identity and Access Management (IAM) 策略。您可以使用两种方法提供控制:
-
根据网关资源上的标签控制对这些资源的访问。
-
控制可以在 IAM 请求条件中传递的标签。
有关如何使用标签控制访问的信息,请参阅使用标签控制访问。
根据资源上的的标签控制访问
要控制用户或角色可以对网关资源执行的操作,您可以使用网关资源上的标签。例如,您可能希望根据文件网关资源上的标签的键/值对允许或拒绝对该资源执行特定的 API 操作。
以下示例允许用户或角色对所有资源执行 ListTagsForResource、ListFileShares 和 DescribeNFSFileShares 操作。仅当资源上的标签将其键设置为 allowListAndDescribe 并将值设置为 yes 时,该策略才适用。
根据 IAM 请求中的标签控制访问
要控制用户可以对网关资源执行的操作,您可以在 IAM 策略中使用基于标签的条件。例如,您可以编写一个策略,根据用户在创建资源时提供的标签,允许或拒绝用户执行特定 API 操作。
在以下示例中,只有在用户在创建网关时提供的标签的键值对为 Department 和 Finance 时,第一条语句才允许用户创建网关。在使用该 API 操作时,您可以将该标签添加到激活请求中。
只有在网关上的标签的键值对与 Department 和 Finance 匹配时,第二条语句才允许用户在网关上创建网络文件系统 (NFS) 或服务器消息块 (SMB) 文件共享。此外,用户还必须将标签添加到文件共享中,并且标签的键/值对必须为 Department 和 Finance。在创建文件共享时,您可以将标签添加到文件共享中。没有权限执行 AddTagsToResource 或 RemoveTagsFromResource 操作,因此,用户无法对网关或文件共享执行这些操作。