Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Uso de etiquetas con Amazon EFS
<a name="using-tags-efs"></a>

Puede utilizar etiquetas para controlar el acceso a los recursos de Amazon EFS e implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulte lo siguiente:
+ [Etiquetado de recursos de EFS](manage-fs-tags.md)
+ [Control del acceso a un recurso en función de las etiquetas](#resource-tag-control)
+ [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario *de IAM*

**nota**  
La replicación de Amazon EFS no admite el uso de etiquetas para el control de acceso basado en atributos (ABAC).

Para aplicar etiquetas a los recursos de Amazon EFS durante la creación, los usuarios deben tener determinados permisos AWS Identity and Access Management (IAM).

## Concesión de permisos para etiquetar recursos durante la creación
<a name="supported-iam-actions-tagging"></a>

Las siguientes acciones de la API de creación de Amazon EFS mediante el agregado de etiquetas le permiten especificar etiquetas durante la creación del recurso.
+ `CreateAccessPoint`
+ `CreateFileSystem`

 Para permitir que los usuarios etiqueten los recursos durante su creación, es preciso que tengan permisos para utilizar la acción que crea el recurso (por ejemplo, `elasticfilesystem:CreateAccessPoint` o `elasticfilesystem:CreateFileSystem`). Si se especifican etiquetas en la acción de creación del recurso, concede AWS una autorización adicional a la `elasticfilesystem:TagResource` acción para comprobar si los usuarios tienen permiso para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción `elasticfilesystem:TagResource`. 

En la definición de la política de IAM de la acción `elasticfilesystem:TagResource`, utilice el elemento `Condition` con la clave de condición `elasticfilesystem:CreateAction` para otorgar permisos de etiquetado a la acción que crea el recurso.

**Example política: permitir agregar etiquetas a sistemas de archivos solo en el momento de su creación**  
La siguiente política de ejemplo permite a los usuarios crear sistemas de archivos y aplicarles etiquetas durante la creación. No se permite a los usuarios etiquetar ningún recurso (no pueden llamar directamente a la acción `elasticfilesystem:TagResource`).  

```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:{{region}}:{{account-id}}:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:{{region}}:{{account-id}}:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}
```

## Uso de etiquetas para controlar el acceso a los recursos de Amazon EFS
<a name="restrict-efs-access-tags"></a>

Para controlar el acceso a los recursos y las acciones de Amazon EFS, puede utilizar políticas de IAM basadas en etiquetas. Puede proporcionar este control de dos maneras:
+ Puede controlar el acceso a los recursos de Amazon EFS basándose en las etiquetas de dichos recursos.
+ Puede controlar qué etiquetas se pueden pasar en una condición de solicitud IAM.

Para obtener información sobre cómo usar las etiquetas para controlar el acceso a AWS los recursos, consulte [Controlar el acceso mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la Guía del usuario de *IAM*.

## Control del acceso a un recurso en función de las etiquetas
<a name="resource-tag-control"></a>

Para controlar qué acciones puede realizar un usuario o rol en un recurso de Amazon EFS, puede utilizar etiquetas en el recurso. Por ejemplo, es posible que desee permitir o denegar acciones de la API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.

**Example política: crear un sistema de archivos únicamente cuando se utiliza una etiqueta específica**  

El siguiente ejemplo de política permite que el usuario cree un sistema de archivos solo cuando lo etiqueta con un par clave-valor específico, en este ejemplo, `key=Department`, `value=Finance`.

```
{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:{{region}}:{{account-id}}:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
```

**Example política: eliminar los sistemas de archivos con etiquetas específicas**  

La siguiente política de ejemplo permite a un usuario eliminar únicamente los sistemas de archivos etiquetados con `Department=Finance`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:{{us-east-1}}:{{111122223333}}:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
```

------