Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
使用标签控制对网关和资源的访问
要控制对网关资源和操作的访问,您可以根据标签使用 Amazon Identity and Access Management (IAM) 策略。您可以使用两种方法提供控制:
-
根据网关资源上的标签控制对这些资源的访问。
-
控制可以在 IAM 请求条件中传递的标签。
有关如何使用标签控制访问的信息,请参阅使用标签控制访问。
根据资源上的的标签控制访问
要控制用户或角色可以对网关资源执行的操作,您可以使用网关资源上的标签。例如,您可能希望根据文件网关资源上的标签的键/值对允许或拒绝对该资源执行特定的 API 操作。
以下示例允许用户或角色对所有资源执行 ListTagsForResource、ListFileShares 和 DescribeNFSFileShares 操作。仅当资源上的标签将其键设置为 allowListAndDescribe 并将值设置为 yes 时,该策略才适用。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"storagegateway:ListTagsForResource",
"storagegateway:ListFileShares",
"storagegateway:DescribeNFSFileShares"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/allowListAndDescribe": "yes"
}
}
},
{
"Effect": "Allow",
"Action": [
"storagegateway:*"
],
"Resource": "arn:aws:storagegateway:us-east-1:111122223333:*/*"
}
]
}
根据 IAM 请求中的标签控制访问
要控制用户可以对网关资源执行的操作,您可以根据标签在 IAM 策略中使用条件。例如,您可以编写一个策略,以根据用户在创建资源时提供的标签允许或拒绝执行特定的 API 操作。
在以下示例中,只有在用户在创建网关时提供的标签的键值对为 Department 和 Finance 时,第一条语句才允许用户创建网关。在使用该 API 操作时,您可以将该标签添加到激活请求中。
只有在网关上的标签的键值对与 Department 和 Finance 匹配时,第二条语句才允许用户在网关上创建网络文件系统 (NFS) 或服务器消息块 (SMB) 文件共享。此外,用户还必须将标签添加到文件共享中,并且标签的键/值对必须为 Department 和 Finance。在创建文件共享时,您可以将标签添加到文件共享中。没有权限执行 AddTagsToResource 或 RemoveTagsFromResource 操作,因此,用户无法对网关或文件共享执行这些操作。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"storagegateway:ActivateGateway"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Department":"Finance"
}
}
},
{
"Effect":"Allow",
"Action":[
"storagegateway:CreateNFSFileShare",
"storagegateway:CreateSMBFileShare"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Department":"Finance",
"aws:RequestTag/Department":"Finance"
}
}
}
]
}