使用标签控制对 Amazon FSx 资源的访问权限 - Amazon FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用标签控制对 Amazon FSx 资源的访问权限

要控制 Amazon FSx 资源和操作的访问,您可以使用Amazon Identity and Access Management(IAM) 策略。您可以使用两种方法提供控制:

  1. 根据 Amazon FSx 资源上的标签控制对 Amazon FSx 资源的访问。

  2. 控制可以在 IAM 请求条件中传递的标签。

有关如何使用标签控制对Amazon资源,请参阅。使用标签控制访问中的IAM 用户指南. 有关在创建时标记 Amazon FSx 资源的更多信息,请参阅。在创建过程中授予标记资源的权限. 有关使用标签的更多信息,请参阅。标记 Amazon FSX 资源.

根据资源上的标签控制访问

要控制用户或角色可以对 Amazon FSX 资源执行的操作,您可以使用该资源上的标签。例如,您可能希望根据文件系统资源上的标签的键/值对允许或拒绝对该资源执行特定的 API 操作。

例 示例策略 — 在提供特定标记时创建文件系统

此策略仅允许用户在使用特定标签键值对标记文件系统时创建文件系统,在此示例中,key=Department, value=Finance.

{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }

例 策略示例 — 仅在具有特定标记的文件系统上创建备份

此策略允许用户仅在使用密钥值对标记的文件系统上创建备份key=Department, value=Finance,并且备份将使用标记Deparment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }

例 策略示例 — 使用具有特定标记的备份创建具有特定标记的文件系统

此策略允许用户创建标记有的文件系统Department=Finance仅从标记为Department=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }

例 策略示例 — 删除具有特定标记的文件系统

此策略仅允许用户删除标记有的文件系统Department=Finance. 如果他们创建了最终备份,则必须使用Department=Finance. 对于 Lustre 文件系统,用户需要fsx:CreateBackup privilege to create the final backup.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }

例 策略示例 — 在具有特定标记的文件系统上创建数据存储库任务

此策略允许用户创建标记为Department=Finance,并且仅在文件系统上标记为Department=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:task/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }