

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usar tags com o Amazon EFS
<a name="using-tags-efs"></a>

Você pode usar tags para controlar o acesso aos recursos do Amazon EFS e para implementar o controle de acesso por atributo (ABAC). Para obter mais informações, consulte:
+ [Marcar recursos do EFS](manage-fs-tags.md)
+ [Como controlar o acesso com base em tags em um recurso](#resource-tag-control)
+ [Para que serve o ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no Guia *do usuário do IAM*

**nota**  
A replicação do Amazon EFS não é compatível com o uso de tags para controle de acesso por atributo (ABAC).

Para aplicar tags aos recursos do Amazon EFS durante a criação, os usuários devem ter determinadas permissões do AWS Identity and Access Management (IAM).

## Concessão de permissão para marcar recursos durante a criação
<a name="supported-iam-actions-tagging"></a>

As ações de API do Amazon EFS permitem especificar tags quando você cria o recurso.
+ `CreateAccessPoint`
+ `CreateFileSystem`

 Para permitir que os usuários marquem recursos na criação, eles devem ter permissões para usar a ação que cria o recurso, como `elasticfilesystem:CreateAccessPoint` ou `elasticfilesystem:CreateFileSystem`. Se as tags forem especificadas na ação de criação de recursos, AWS executará uma autorização adicional na `elasticfilesystem:TagResource` ação para verificar se os usuários têm permissão para criar tags. Portanto, os usuários também precisam ter permissões para usar a ação `elasticfilesystem:TagResource`. 

Na definição de política do IAM para a ação `elasticfilesystem:TagResource`, use o elemento `Condition` com a chave de condição `elasticfilesystem:CreateAction` para conceder permissões de marcação à ação que cria o recurso.

**Example Política: permitir adicionar tags aos sistemas de arquivos somente no momento da criação**  
O exemplo de política a seguir permite que os usuários criem sistemas de arquivos e apliquem tags aos eles somente durante a criação. Os usuários não têm permissão para marcar recursos existentes (não podem chamar a ação `elasticfilesystem:TagResource` diretamente).  

```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:{{region}}:{{account-id}}:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:{{region}}:{{account-id}}:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}
```

## Usar tags para controlar o acesso aos recursos do Amazon EFS
<a name="restrict-efs-access-tags"></a>

Para controlar o acesso a ações e recursos do Amazon EFS, você pode usar políticas do IAM baseadas em tags. É possível conceder o controle de duas formas:
+ Você pode controlar o acesso aos recursos do Amazon EFS de arquivos com base nas tags desses recursos.
+ Controlar quais tags podem ser transmitidas em uma condição de solicitação do IAM.

Para obter informações sobre como usar tags para controlar o acesso aos AWS recursos, consulte Como [controlar o acesso usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*.

## Como controlar o acesso com base em tags em um recurso
<a name="resource-tag-control"></a>

Para controlar quais ações um usuário ou um perfil pode executar em um recurso do Amazon EFS, é possível usar tags no recurso. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso do sistema de arquivos com base no par chave-valor da tag no recurso.

**Example política: criar um sistema de arquivos somente quando uma tag específica for usada**  

O exemplo de política a seguir permite que o usuário crie um sistema de arquivos somente quando o marca com um par de chave-valor de tag específico, neste exemplo, `key=Department`, `value=Finance`.

```
{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:{{region}}:{{account-id}}:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
```

**Example política: excluir sistemas de arquivos com tags específicas**  

O exemplo de política a seguir permite que um usuário exclua somente os sistemas de arquivos que estão marcados com `Department=Finance`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:{{us-east-1}}:{{111122223333}}:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
```

------