在创建过程中授予标记资源的权限 - Amazon FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在创建过程中授予标记资源的权限

某些资源创建 Amazon FSx for Lustre API 操作允许您在创建资源时指定标签。您可以使用资源标签来实现基于属性的访问控制 (ABAC)。有关更多信息,请参阅什么是适用于的 ABACAmazon中的IAM 用户指南.

为使用户能够在创建时为资源添加标签,他们必须具有使用创建该资源的操作(如 fsx:CreateFileSystemfsx:CreateBackup)的权限。如果在资源创建操作中指定了标签,则 Amazon 会对 fsx:TagResource 操作执行额外的授权,以验证用户是否具备创建标签的权限。因此,用户还必须具有使用 fsx:TagResource 操作的显式权限。

下面的示例演示一个策略,该策略允许用户创建文件系统并在创建期间向文件系统应用任何标签。 Amazon Web Services 账户 .

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*" } ] }

同样,下面的策略允许用户为特定文件系统资源创建备份,并在创建备份期间向备份应用任何标签。

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }

仅当用户在资源创建操作中应用了标签时,系统才会评估 fsx:TagResource 操作。因此,如果未在此请求中指定任何标签,则拥有创建资源权限 (假定没有标记条件) 的用户无需具备使用 fsx:TagResource 操作的权限。但是,如果用户不具备使用 fsx:TagResource 操作的权限而又试图创建带标签的资源,则请求将失败。

用户需要fsx:CreateBackup删除 Amazon FSx for Lustre 文件系统时,使用DeleteFileSystemAPI 操作或 CLI 命令,以及SkipFinalBackup设置为 false。否则,操作将失败,因为在删除文件系统之前不允许用户创建最终备份。

有关标记 Amazon FSx 资源的更多信息,请参阅。标记 Amazon FSX 资源. 有关使用标签控制对 FSX 资源的访问的更多信息,请参阅使用标签控制对 Amazon FSx 资源的访问权限.