翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon FSx でのタグの使用
タグを使用すると、Amazon FSx リソースへのアクセスをコントロールしたり、属性ベースのアクセスコントロール (ABAC) を実装したりできます。作成中に Amazon FSx リソースにタグを適用するには、ユーザーは特定の AWS Identity and Access Management (IAM) 許可を持っている必要があります。
## 作成中にリソースにタグを付ける許可を付与する
リソースを作成する一部の Amazon FSx for Lustre の API アクションでは、リソースの作成時にタグを指定することができます。リソースタグを使用して、属性ベースのアクセスコントロール (ABAC) を実装できます。詳細については、*IAM ユーザーガイド*の[「ABAC とは AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
ユーザーが作成時にタグを付けるには、`fsx:CreateFileSystem` などのリソースを作成するアクションを使用するためのアクセス許可が必要です。リソース作成アクションでタグが指定されている場合、IAM は `fsx:TagResource` アクションに対して追加の認可を実行して、ユーザーがタグを作成する認可を持っているかどうかを確認します。そのため、ユーザーには、`fsx:TagResource` アクションを使用する明示的なアクセス許可も必要です。
次のポリシー例では、特定の での作成時に、ユーザーがファイルシステムを作成し、タグを適用することを許可します AWS アカウント。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:{{region}}:{{account-id}}:file-system/*"
]
}
]
}
```
同様に、次のポリシーでは、ユーザーが特定のファイルシステム上でバックアップを作成し、バックアップ作成時にバックアップにタグを適用することができます。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:file-system/{{file-system-id}}*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:backup/*"
}
]
}
```
`fsx:TagResource` アクションは、タグがリソース作成アクション時に適用された場合のみ評価されます。したがって、リクエストでタグが指定されていない場合、リソースを作成するアクセス許可を持つユーザー (タグ付け条件がないと仮定) には、`fsx:TagResource` アクションを実行するアクセス許可は必要ありません。ただし、ユーザーがタグ付きリソースを作成しようとした場合、ユーザーが `fsx:TagResource` アクションを使用するアクセス許可を持っていない場合はリクエストに失敗します。
Amazon FSx リソースのタグ付けの詳細については、「[Amazon FSx for Lustre リソースのタグ付け](tag-resources.md)」を参照してください。タグを使用した Amazon FSx for Lustre リソースへのアクセスコントロールの詳細については、「[タグを使用した Amazon FSx リソースへのアクセスのコントロール](#restrict-fsx-access-tags)」を参照してください。
## タグを使用した Amazon FSx リソースへのアクセスのコントロール
Amazon FSx とアクションへのアクセスをコントロールするには、タグに基づいて IAM ポリシーを使用できます。コントロールは 2 つの方法で可能です。
+ それらのリソースのタグに基づいて、Amazon FSx へのアクセスをコントロールできます。
+ IAM リクエストの条件でどのタグを渡すかをコントロールできます。
タグを使用して AWS リソースへのアクセスを制御する方法については、*IAM ユーザーガイド*の[「タグを使用したアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。作成時の Amazon FSx リソースのタグ付けの詳細については、「[作成中にリソースにタグを付ける許可を付与する](#supported-iam-actions-tagging)」を参照してください。リソースのタグ付けの詳細については、「[Amazon FSx for Lustre リソースのタグ付け](tag-resources.md)」を参照してください
### リソースのタグに基づいてアクセスのコントロール
ユーザーまたはロールが Amazon FSx リソースで実行できるアクションをコントロールするには、リソースでタグを使用できます。例えば、リソースのタグのキーバリューのペアに基づいて、ファイルシステムリソースに対する特定の API オペレーションを許可または拒否することが必要な場合があります。
**Example ポリシーの例 - 特定のタグを指定するときにファイルシステムを作成する**
このポリシーにより、ユーザーは特定のタグとキーバリューのペア (この例では `key=Department, value=Finance`) でタグ付けした場合にのみファイルシステムを作成できます。
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example ポリシーの例 - 特定のタグを持つファイルシステムでのみバックアップを作成する**
このポリシーにより、ユーザーはキーと値のペア `key=Department, value=Finance` でタグ付けされたファイルシステムでのみバックアップを作成でき、バックアップはタグ `Deparment=Finance` で作成されます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシーの例 - 特定のタグを持つバックアップから特定のタグを持つファイルシステムを作成する**
このポリシーにより、ユーザーは、`Department=Finance` でタグ付けされたバックアップからのみ `Department=Finance` でタグ付けされたファイルシステムを作成できます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシーの例 - 特定のタグを持つファイルシステムの削除**
このポリシーにより、ユーザーは `Department=Finance` でタグ付けされたファイルシステムのみを削除できます。最終バックアップを作成する場合は、それは `Department=Finance` でタグ付けされる必要があります。FSx for Lustre ファイルシステムの場合、ユーザーは最終バックアップを作成するために `fsx:CreateBackup` 特権が必要です。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシーの例 - 特定のタグを持つファイルシステム上にデータリポジトリタスクを作成する**
このポリシーにより、ユーザーは `Department=Finance` でタグ付けされたデータリポジトリタスクを作成でき、`Department=Finance` でタグ付けされたファイルシステムでのみ作成できます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:task/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```