在 Amazon 上使用标签 FSx - 适用于 ONTAP 的 FSx
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 上使用标签 FSx

您可以使用标签来控制对 Amazon FSx 资源的访问权限并实现基于属性的访问控制 () ABAC。要在创建期间对 Amazon FSx 资源应用标签,用户必须具有某些 Amazon Identity and Access Management (IAM) 权限。

在创建过程中授予标记资源的权限

通过一些创建资源的 Amazon FSx API 操作,您可以在创建资源时指定标签。您可以使用这些资源标签来实现基于属性的访问控制 () ABAC。有关更多信息,请参阅有什么ABAC用 Amazon? 在《IAM用户指南》中。

为使用户在创建时为资源添加标签,他们必须具有使用创建该资源的操作(如 fsx:CreateFileSystemfsx:CreateStorageVirtualMachinefsx:CreateVolume)的权限。如果在资源创建操作中指定了标签,则会对该操作IAM执行额外授权,以验证用户是否有权创建标签。fsx:TagResource因此,用户还必须具有使用 fsx:TagResource 操作的显式权限。

以下示例策略允许用户创建文件系统和存储虚拟机 (SVMs),并在特定环境中创建期间对它们应用标记 Amazon Web Services 账户。

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:CreateStorageVirtualMachine", "fsx:TagResource" ], "Resource": [ "arn:aws:fsx:region:account-id:file-system/*", "arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*" ] } ] }

同样,下面的策略允许用户在特定文件系统上创建备份,并在创建备份的过程中向备份应用任何标签。

{ "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*" }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*" } ] }

仅当用户在资源创建时应用了标签的情况下,系统才会评估 fsx:TagResource 操作。因此,如果未在此请求中指定任何标签,则拥有创建资源权限(假定没有标记条件)的用户无需具备使用 fsx:TagResource 操作的权限。但是,如果用户不具备使用 fsx:TagResource 操作的权限而又试图创建带标签的资源,则请求将失败。

有关为 Amazon FSx 资源添加标签的更多信息,请参阅为 Amazon FSx 资源添加标签。有关使用标签控制 Amazon FSx 资源访问权限的更多信息,请参阅使用标签控制对您的 Amazon FSx 资源的访问权限

使用标签控制对您的 Amazon FSx 资源的访问权限

要控制对 Amazon FSx 资源和操作的访问权限,您可以使用基于标签的IAM策略。您可以使用两种方法提供此类控制:

  • 您可以根据这些FSx资源上的标签来控制对 Amazon 资源的访问权限。

  • 您可以控制在IAM请求条件中可以传递哪些标签。

有关如何使用标签控制 Amazon 资源访问的信息,请参阅IAM用户指南中的使用标签控制访问权限。有关在创建 Amazon FSx 资源时标记 Amazon 资源的更多信息,请参阅在创建过程中授予标记资源的权限。有关标记资源的更多信息,请参阅为 Amazon FSx 资源添加标签

根据资源上的标签控制访问权限

要控制用户或角色可以对 Amazon FSx 资源执行哪些操作,您可以在资源上使用标签。例如,您可能希望根据资源上标签的键值对来允许或拒绝对文件系统资源执行特定API操作。

例 策略示例 – 仅在使用特定标签时创建文件系统

只有当用户使用特定标签键值对标记文件系统时,此策略才允许用户创建文件系统,在本示例中为 key=Departmentvalue=Finance

{ "Effect": "Allow", "Action": [ "fsx:CreateFileSystem", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }
例 策略示例 — 仅FSx为带有特定标签的 NetApp ONTAP卷创建 Amazon 的备份

此策略仅允许用户FSx为标有键值对key=Department的ONTAP卷创建备份。value=Finance使用标签 Department=Finance 创建备份。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource", "fsx:CreateBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
例 策略示例 – 通过带有特定标签的备份创建带有特定标签的卷

此策略允许用户仅通过带有 Department=Finance 标签的备份创建带有 Department=Finance 标签的卷。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup", "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:CreateVolumeFromBackup" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } } ] }
例 策略示例 – 删除带有特定标签的文件系统

此策略允许用户删除带有 Department=Finance 标签的文件系统。如果他们创建了最终备份,则必须使用 Department=Finance 标记。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteFileSystem" ], "Resource": "arn:aws:fsx:region:account-id:file-system/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }
例 示例策略 – 删除带有特定标签的卷

此策略允许用户仅删除带有 Department=Finance 标签的卷。如果他们创建了最终备份,则必须使用 Department=Finance 标记。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "fsx:DeleteVolume" ], "Resource": "arn:aws:fsx:region:account-id:volume/*", "Condition": { "StringEquals": { "aws:ResourceTag/Department": "Finance" } } }, { "Effect": "Allow", "Action": [ "fsx:TagResource" ], "Resource": "arn:aws:fsx:region:account-id:backup/*", "Condition": { "StringEquals": { "aws:RequestTag/Department": "Finance" } } } ] }