本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用标签控制对网关和资源的访问
要控制对网关资源和操作的访问,您可以根据标签使用 Amazon Identity and Access Management (IAM) 策略。您可以使用两种方法提供控制:
-
根据网关资源上的标签控制对这些资源的访问。
-
控制可以在 IAM 请求条件中传递的标签。
有关如何使用标签控制访问的信息,请参阅使用标签控制访问。
根据资源标签控制访问
要控制用户或角色可以对网关资源执行的操作,您可以使用网关资源上的标签。例如,您可能希望根据文件网关资源上的标签的键/值对允许或拒绝对该资源执行特定的 API 操作。
以下示例允许用户或角色对所有资源执行 ListTagsForResource、ListFileShares 和 DescribeNFSFileShares 操作。仅当资源上的标签将其键设置为 allowListAndDescribe 并将值设置为 yes 时,该策略才适用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "storagegateway:ListTagsForResource", "storagegateway:ListFileShares", "storagegateway:DescribeNFSFileShares" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/allowListAndDescribe": "yes" } } }, { "Effect": "Allow", "Action": [ "storagegateway:*" ], "Resource": "arn:aws:storagegateway:region:account-id:*/*" } ] }
根据 IAM 请求中的标签控制访问
要控制 IAM 用户可以对网关资源执行的操作,您可以根据标签在 IAM 策略中使用条件。例如,您可以编写一个策略,以根据 IAM 用户在创建资源时提供的标签允许或拒绝执行特定的 API 操作。
在以下示例中,只有在用户在创建网关时提供的标签的键值对为 Department 和 Finance 时,第一条语句才允许用户创建网关。在使用该 API 操作时,您可以将该标签添加到激活请求中。
只有在网关上的标签的键值对匹配时,第二条语句才允许用户在网关上创建网络文件系统 (NFS) 或服务器消息块 (SMB) 文件共享。Department和Finance. 此外,用户还必须将标签添加到文件共享中,并且标签的键/值对必须为 Department 和 Finance。在创建文件共享时,您可以将标签添加到文件共享中。没有权限执行 AddTagsToResource 或 RemoveTagsFromResource 操作,因此,用户无法对网关或文件共享执行这些操作。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "storagegateway:ActivateGateway" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:RequestTag/Department":"Finance" } } }, { "Effect":"Allow", "Action":[ "storagegateway:CreateNFSFileShare", "storagegateway:CreateSMBFileShare" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Department":"Finance", "aws:RequestTag/Department":"Finance" } } } ] }