Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation des balises avec Amazon EFS
<a name="using-tags-efs"></a>

Vous pouvez utiliser des balises pour contrôler l’accès aux ressources Amazon EFS et pour implémenter le contrôle d’accès basé sur les attributs (ABAC). Pour en savoir plus, consultez :
+ [Marquage des ressources EFS](manage-fs-tags.md)
+ [Contrôle de l’accès en fonction des balises sur une ressource](#resource-tag-control)
+ [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*

**Note**  
La réplication EFS ne prend pas en charge l’utilisation de balises pour le Contrôle d’accès par attributs (ABAC).

Pour appliquer des balises aux ressources Amazon EFS lors de leur création, les utilisateurs doivent disposer de certaines autorisations (IAM) Gestion des identités et des accès AWS .

## Octroi de les autorisations de baliser les ressources lors de la création
<a name="supported-iam-actions-tagging"></a>

Les actions de balisage lors de la création d’API Amazon EFS suivantes vous permettent de spécifier des balises lorsque vous créez la ressource.
+ `CreateAccessPoint`
+ `CreateFileSystem`

 Pour permettre aux utilisateurs d’attribuer des balises aux ressources au moment de la création, ils doivent avoir les autorisations d’utiliser l’action qui crée les ressources (par exemple, `elasticfilesystem:CreateAccessPoint` ou `elasticfilesystem:CreateFileSystem`). Si des balises sont spécifiées dans l'action de création de ressources, octroie AWS une autorisation supplémentaire à l'`elasticfilesystem:TagResource`action pour vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d’utiliser l’action `elasticfilesystem:TagResource`. 

Dans la définition de stratégie IAM de l’action `elasticfilesystem:TagResource`, utilisez l’élément `Condition` avec la clé de condition `elasticfilesystem:CreateAction` pour accorder des autorisations de balisage à l’action qui crée la ressource.

**Example stratégie : autoriser l’ajout de balises aux systèmes de fichiers uniquement lors de la création**  
L’exemple de stratégie suivant permet aux utilisateurs de créer des systèmes de fichiers et appliquer des balises aux lors de la création. Les utilisateurs ne sont pas autorisés à attribuer des balises aux ressources existantes (ils ne peuvent pas appeler l’action `elasticfilesystem:TagResource` directement).  

```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}
```

## Utiliser des balises pour contrôler l’accès à vos ressources Amazon EFS
<a name="restrict-efs-access-tags"></a>

Pour contrôler l’accès aux ressources et actions Amazon EFS, vous pouvez utiliser des politiques IAM basées sur des balises. Vous pouvez fournir le contrôle de deux manières :
+ Vous pouvez contrôler l’accès aux ressources Amazon EFS en fonction des balises de ces ressources.
+ Vous pouvez contrôler les balises qui peuvent être transmises dans une condition de demande IAM.

Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès aux AWS ressources, consultez la section [Contrôle de l'accès à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*.

## Contrôle de l’accès en fonction des balises sur une ressource
<a name="resource-tag-control"></a>

Les balises permettent de contrôler les actions qu’un utilisateur ou un rôle peut effectuer sur une ressource Amazon EFS. Par exemple, vous pouvez autoriser ou refuser des opérations d’API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.

**Example politique : créer un système de fichiers uniquement lorsqu’une balise spécifique est utilisée**  

L’exemple de politique suivant permet à l’utilisateur de créer un système de fichiers uniquement s’il le balise avec une paire clé-valeur de balise spécifique, dans cet exemple,,`key=Department`. `value=Finance`

```
{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
```

**Example politique : Supprimer les systèmes de fichiers dotés de balises spécifiques**  

L’exemple de stratégie suivant permet à un utilisateur de supprimer uniquement les systèmes de fichiers marqués avec `Department=Finance`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
```

------