Amazon FSx File Gateway n'est plus disponible pour les nouveaux clients. Les clients existants de FSx File Gateway peuvent continuer à utiliser le service normalement. Pour des fonctionnalités similaires à FSx File Gateway, consultez ce billet de blog
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de balises pour contrôler l'accès à votre passerelle et à vos ressources
Pour contrôler l'accès aux ressources et aux actions de la passerelle, vous pouvez utiliser des politiques AWS Identity and Access Management (IAM) basées sur des balises. Vous pouvez fournir le contrôle de deux manières :
-
Contrôlez l'accès aux ressources de la passerelle en fonction des balises de ces ressources.
-
Contrôlez quelles balises peuvent être transmises dans une condition de demande IAM.
Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès, consultez Contrôle de l'accès à l'aide des balises.
Contrôle de l'accès en fonction des balises sur une ressource
Pour contrôler les actions qu'un utilisateur ou un rôle peut effectuer sur la ressource, vous pouvez utiliser des balises sur une ressource de passerelle. Par exemple, vous pouvez autoriser ou refuser des opérations d'API spécifiques sur une ressource de passerelle de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.
L'exemple suivant permet à un utilisateur ou à un rôle d'effectuer les actions ListTagsForResource, ListFileShares et DescribeNFSFileShares sur toutes les ressources. La stratégie s'applique uniquement si la balise sur la ressource a sa clé définie sur allowListAndDescribe et la valeur définie sur yes.
Contrôle de l'accès en fonction des balises dans une demande IAM
Pour contrôler ce qu'un utilisateur peut faire sur une ressource de passerelle, vous pouvez utiliser les conditions d'une politique IAM basée sur des balises. Par exemple, vous pouvez rédiger une politique qui autorise ou refuse à un utilisateur la possibilité d'effectuer des opérations d'API spécifiques en fonction de la balise qu'il a fournie lors de la création de la ressource.
Dans l'exemple suivant, la première déclaration permet à un utilisateur de créer une passerelle uniquement si la paire clé-valeur de la balise qu'il a fournie lors de la création de la passerelle est Department et Finance. Lorsque vous utilisez l'opération d'API, vous ajoutez cette balise à la demande d'activation.
La deuxième instruction permet à l'utilisateur de créer un partage de fichiers Network File System (NFS) ou SMB (Server Message Block) sur une passerelle uniquement si la paire clé-valeur de la balise sur la passerelle correspond à Department et Finance. De plus, l'utilisateur doit ajouter une balise au partage de fichiers et la paire clé-valeur de la balise doit être Department et Finance. Vous pouvez ajouter des balises à un partage de fichiers lors de la création du partage de fichiers. Il n'existe pas d'autorisations pour les opérations RemoveTagsFromResource ou AddTagsToResource, ce qui signifie que l'utilisateur ne peut pas effectuer ces opérations sur la passerelle ou le partage de fichiers.
