翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon FSx でのタグの使用
タグを使用すると、Amazon FSx リソースへのアクセスを制御したり、属性ベースのアクセスコントロール (ABAC) を実装したりできます。ユーザーは、作成時に Amazon FSx リソースにタグを適用する権限を持っている必要があります。
## リソース作成時にタグ付けするアクセス許可の付与
一部のリソース作成 FSx for Windows File Server API アクションでは、リソースの作成時にタグを指定できます。リソースタグを使用して、属性ベースのアクセスコントロール (ABAC) を実装できます。詳細については、「*IAM ユーザーガイド*」の「[AWSの ABAC とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。
ユーザーが作成時にリソースにタグを付けることができるようにするには、`fsx:CreateFileSystem` や `fsx:CreateBackup` などのリソースを作成するアクションを使用するためのアクセス許可が必要です。タグがリソース作成アクションで指定されている場合、Amazon は `fsx:TagResource` アクションで追加の認可を実行してユーザーがタグを作成するアクセス許可を持っているかどうかを確認します。そのため、ユーザーには`fsx:TagResource` アクションを使用する明示的なアクセス権限が必要です。
次の例は、特定の での作成中に、ユーザーがファイルシステムを作成し、ファイルシステムにタグを適用できるようにするポリシーを示しています AWS アカウント。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*"
}
]
}
```
同様に、次のポリシーにより、ユーザーは特定のファイルシステムにバックアップを作成し、バックアップの作成中に任意のタグをバックアップに適用できます。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
`fsx:TagResource` アクションは、リソース作成アクション中にタグが適用された場合にのみ評価されます。したがって、リクエストでタグが指定されていない場合、リソースを作成するアクセス許可を持っているユーザー (タグ付け条件がないと仮定) には`fsx:TagResource` アクションを実行するアクセス許可は必要ありません。ただし、ユーザーがタグを使用してリソースを作成しようとした場合、ユーザーが `fsx:TagResource` アクションを使用するアクセス許可を持っていない場合はリクエストに失敗します。
Amazon FSx リソースのタグ付けの詳細については、[Amazon FSx リソースのタグ付け](tag-resources.md) を参照してください。タグを使用して FSx リソースへのアクセスをコントロールするためには「[タグを使用した Amazon FSx リソースへのアクセスのコントロール](#restrict-fsx-access-tags)」を参照してください。
## タグを使用した Amazon FSx リソースへのアクセスのコントロール
Amazon FSx リソースとアクションへのアクセスを制御するには、タグに基づいて AWS Identity and Access Management (IAM) ポリシーを使用できます。コントロールは 2 つの方法で提供できます。
1. それらのリソースのタグに基づいて、Amazon FSx へのアクセスをコントロールします。
1. IAM リクエストの条件でどのタグを渡せるかをコントロールする。
タグを使用して AWS リソースへのアクセスを制御する方法については、*IAM ユーザーガイド*の[「タグを使用したアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。作成時の Amazon FSx リソースのタグ付けの詳細については、「[リソース作成時にタグ付けするアクセス許可の付与](#supported-iam-actions-tagging)」を参照してください。リソースのタグ付けの詳細については、「[Amazon FSx リソースのタグ付け](tag-resources.md)」を参照してください
### リソースのタグに基づいてアクセスのコントロール
ユーザーまたはロールが Amazon FSx リソースで実行できるアクションをコントロールするには、リソースでタグを使用できます。例えば、リソースのタグのキーバリューのペアに基づいて、ファイルシステムリソースに対する特定の API オペレーションを許可または拒否することが必要な場合があります。
**Example ポリシー - 特定のタグを指定するときにファイルシステムを作成する**
このポリシーにより、ユーザーは特定のタグとキーバリューのペア (この例では `key=Department, value=Finance`) でタグ付けした場合にのみファイルシステムを作成できます。
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example ポリシー - 特定のタグを持つ Amazon FSx ファイルシステムのみでバックアップを作成する**
このポリシーにより、ユーザーはキーと値のペア `key=Department, value=Finance` でタグ付けされたファイルシステムのみでバックアップを作成でき、バックアップはタグ `Deparment=Finance` で作成されます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシー - 特定のタグを持つバックアップから特定のタグを持つファイルシステムを作成する**
このポリシーにより、ユーザーは、`Department=Finance` でタグ付けされたバックアップからのみ `Department=Finance` でタグ付けされたファイルシステムを作成できます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example ポリシー - 特定のタグを持つファイルシステムを削除する**
このポリシーにより、ユーザーは `Department=Finance` でタグ付けされたファイルシステムのみを削除できます。最終バックアップを作成する場合は、それは `Department=Finance` でタグ付けされる必要があります。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```