使用标签控制对 Amazon FSx 资源的访问 - FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用标签控制对 Amazon FSx 资源的访问

要控制对 Amazon FSx 资源和操作的访问,您可以使用Amazon Identity and Access Management(IAM) 基于标签的策略。您可以使用两种方法提供控制:

  1. 根据 Amazon FSx 资源上的标签控制对这些资源的访问。

  2. 控制可以在 IAM 请求条件中传递的标签。

有关如何使用标签控制对Amazon资源,请参阅使用标签控制访问中的IAM 用户指南. 有关在创建 Amazon FSx 资源时标记的更多信息,请参阅。在创建过程中授予标记资源的权限. 有关使用标签的更多信息,请参阅。标记 Amazon FSx 资源.

根据资源上的标签控制访问

要控制用户或角色可以对 Amazon FSx 资源执行的操作,可以使用该资源上的标签。例如,您可能希望根据文件系统资源上的标签的键/值对允许或拒绝对该资源执行特定的 API 操作。

例 示例策略 — 在提供特定标签时在上创建文件系统

此策略允许用户仅在使用特定的标签密钥值对标记文件系统时才能创建文件系统,在本示例中,key=Department, value=Finance.

{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }

例 示例策略 — 仅在具有特定标记的文件系统上创建备份

此策略允许用户仅在带有密钥值对标记的文件系统上创建备份key=Department, value=Finance,然后将使用标签创建备份Deparment=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }

例 示例策略 — 使用具有特定标记的备份创建具有特定标签的文件系统

此策略允许用户创建标记为的文件系统。Department=Finance仅来自标记的备份Department=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateFileSystemFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }

例 示例策略 — 删除具有特定标签的文件系统

该策略只允许用户删除标记为的文件系统。Department=Finance. 如果他们创建了最终备份,那么必须使用Department=Finance. 对于 Lustre 文件系统,用户需要fsx:CreateBackup有权创建最终备份。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }

例 示例策略 — 使用特定标签在文件系统上创建数据存储库任务

此策略允许用户创建标记为的数据存储库任务Department=Finance,并且仅在标记为的文件系统上Department=Finance.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateDataRepositoryTask", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:task/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }