Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de balises avec Amazon FSx
Vous pouvez utiliser des balises pour contrôler l'accès aux ressources Amazon FSx et pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour appliquer des balises aux ressources Amazon FSx lors de la création, les utilisateurs doivent disposer de certaines autorisations Gestion des identités et des accès AWS (IAM).
## Accorder l’autorisation de baliser les ressources lors de la création
Avec certaines actions d'API Amazon FSx qui créent des ressources, vous pouvez spécifier des balises lors de la création de la ressource. Vous pouvez utiliser ces balises de ressources pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
Pour que les utilisateurs puissent étiqueter les ressources lors de leur création, ils doivent être autorisés à utiliser l'action qui crée la ressource`fsx:CreateFileSystem`, telle que`fsx:CreateStorageVirtualMachine`, ou`fsx:CreateVolume`. Si des balises sont spécifiées dans l'action de création de ressources, IAM octroie une autorisation supplémentaire à l'`fsx:TagResource`action afin de vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d’utiliser l’action `fsx:TagResource`.
L'exemple de politique suivant permet aux utilisateurs de créer des systèmes de fichiers et des machines virtuelles de stockage (SVM) et de leur appliquer des balises lors de leur création dans un environnement spécifique Compte AWS.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:{{region}}:{{account-id}}:file-system/*",
"arn:aws:fsx:{{region}}:{{account-id}}:file-system/*/{{storage-virtual-machine}}/*"
]
}
]
}
```
De même, la politique suivante permet aux utilisateurs de créer des sauvegardes sur un système de fichiers spécifique et d'appliquer des balises à la sauvegarde lors de la création de la sauvegarde.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:file-system/{{file-system-id}}*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:backup/*"
}
]
}
```
L'`fsx:TagResource`action est évaluée uniquement si des balises sont appliquées lors de l'action de création de ressources. Par conséquent, un utilisateur autorisé à créer une ressource (en supposant qu'il n'existe aucune condition de balisage) n'a pas besoin d'autorisation pour utiliser l'`fsx:TagResource`action si aucune balise n'est spécifiée dans la demande. Toutefois, si l’utilisateur essaie de créer une ressource avec des balises, la demande échoue s’il n’a pas les autorisations d’utiliser l’action `fsx:TagResource`.
Pour plus d'informations sur le balisage des ressources Amazon FSx, consultez. [Marquer les ressources Amazon FSx](tag-resources.md) Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès aux ressources Amazon FSx, consultez. [Utilisation de balises pour contrôler l'accès à vos ressources Amazon FSx](#restrict-fsx-access-tags)
## Utilisation de balises pour contrôler l'accès à vos ressources Amazon FSx
Pour contrôler l'accès aux ressources et aux actions Amazon FSx, vous pouvez utiliser des politiques IAM basées sur des balises. Vous pouvez fournir le contrôle de deux manières :
+ Vous pouvez contrôler l'accès aux ressources Amazon FSx en fonction des balises associées à ces ressources.
+ Vous pouvez contrôler les balises qui peuvent être transmises dans une condition de demande IAM.
Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès aux AWS ressources, consultez la section [Contrôle de l'accès à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*. Pour plus d'informations sur le balisage des ressources Amazon FSx lors de leur création, consultez. [Accorder l’autorisation de baliser les ressources lors de la création](#supported-iam-actions-tagging) Pour plus d’informations sur le balisage des ressources, consultez [Marquer les ressources Amazon FSx](tag-resources.md).
### Contrôle de l’accès en fonction des balises sur une ressource
Pour contrôler les actions qu'un utilisateur ou un rôle peut effectuer sur une ressource Amazon FSx, vous pouvez utiliser des balises sur la ressource. Par exemple, vous pouvez autoriser ou refuser des opérations d’API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.
**Example Exemple de politique — Création d'un système de fichiers uniquement lorsqu'une balise spécifique est utilisée**
Cette politique permet à l'utilisateur de créer un système de fichiers uniquement lorsqu'il le balise avec une paire clé-valeur spécifique, dans cet exemple,,`key=Department`. `value=Finance`
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Exemple de politique — Création de sauvegardes uniquement d'Amazon FSx pour les volumes NetApp ONTAP dotés d'une balise spécifique**
Cette politique permet aux utilisateurs de créer des sauvegardes uniquement de FSx pour les volumes ONTAP marqués avec la paire clé-valeur,. `key=Department` `value=Finance` La sauvegarde est créée avec le tag`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemple de politique — Création d'un volume avec une balise spécifique à partir de sauvegardes dotées d'une balise spécifique**
Cette politique permet aux utilisateurs de créer des volumes étiquetés avec `Department=Finance` uniquement à partir de sauvegardes étiquetées avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemple de politique — Supprimer des systèmes de fichiers dotés de balises spécifiques**
Cette politique permet à un utilisateur de supprimer uniquement les systèmes de fichiers marqués avec`Department=Finance`. S'ils créent une sauvegarde finale, elle doit être étiquetée avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemple de politique — Supprimer un volume avec des balises spécifiques**
Cette politique permet à un utilisateur de supprimer uniquement les volumes marqués avec`Department=Finance`. S'ils créent une sauvegarde finale, elle doit être étiquetée avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteVolume"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```