Amazon FSx File Gateway tidak lagi tersedia untuk pelanggan baru. Pelanggan FSx File Gateway yang ada dapat terus menggunakan layanan ini secara normal. Untuk kemampuan yang mirip dengan FSx File Gateway, kunjungi posting blog ini.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tag untuk mengontrol akses ke gateway dan sumber daya Anda

Untuk mengontrol akses ke sumber daya dan tindakan gateway, Anda dapat menggunakan kebijakan AWS Identity and Access Management (IAM) berdasarkan tag. Anda dapat memberikan kontrol dengan dua cara:

Untuk informasi tentang cara menggunakan tag untuk mengontrol akses, lihat Mengontrol Akses Menggunakan Tag.

Mengontrol Akses Berdasarkan Tag pada Sumber Daya

Untuk mengontrol tindakan apa yang dapat dilakukan pengguna atau peran pada sumber daya gateway, Anda dapat menggunakan tag pada sumber daya gateway. Misalnya, Anda mungkin ingin mengizinkan atau menolak operasi API tertentu pada sumber daya gateway file berdasarkan pasangan nilai kunci tag pada sumber daya.

Contoh berikut memungkinkan pengguna atau peran untuk melakukanListTagsForResource,ListFileShares, dan DescribeNFSFileShares tindakan pada semua sumber daya. Kebijakan hanya berlaku jika tag pada sumber daya memiliki kunci yang disetel ke allowListAndDescribe dan nilainya disetel keyes.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "storagegateway:ListTagsForResource",
                "storagegateway:ListFileShares",
                "storagegateway:DescribeNFSFileShares"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/allowListAndDescribe": "yes"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "storagegateway:*"
            ],
            "Resource": "arn:aws:storagegateway:us-east-1:account-id:*/*"
        }
    ]
}

Mengontrol Akses Berdasarkan Tag dalam Permintaan IAM

Untuk mengontrol apa yang dapat dilakukan pengguna pada sumber daya gateway, Anda dapat menggunakan kondisi dalam kebijakan IAM berdasarkan tag. Misalnya, Anda dapat menulis kebijakan yang memungkinkan atau menyangkal kemampuan pengguna untuk melakukan operasi API tertentu berdasarkan tag yang mereka berikan saat mereka membuat sumber daya.

Dalam contoh berikut, pernyataan pertama memungkinkan pengguna untuk membuat gateway hanya jika pasangan kunci-nilai dari tag yang mereka berikan saat membuat gateway adalah Department dan. Finance Saat menggunakan operasi API, Anda menambahkan tag ini ke permintaan aktivasi.

Pernyataan kedua memungkinkan pengguna untuk membuat file Network File System (NFS) atau Server Message Block (SMB) berbagi file pada gateway hanya jika pasangan kunci-nilai tag pada gateway cocok dan. Department Finance Selain itu, pengguna harus menambahkan tag ke file share, dan pasangan kunci-nilai tag harus Department dan. Finance Anda menambahkan tag ke berbagi file saat membuat berbagi file. Tidak ada izin untuk RemoveTagsFromResource operasi AddTagsToResource atau, sehingga pengguna tidak dapat melakukan operasi ini di gateway atau berbagi file.

JSON

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "storagegateway:ActivateGateway"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:RequestTag/Department":"Finance"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "storagegateway:CreateNFSFileShare",
            "storagegateway:CreateSMBFileShare"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Department":"Finance",
               "aws:RequestTag/Department":"Finance"
            }
         }
      }
   ]
}