As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar tags para controlar o acesso ao gateway e aos recursos

Para controlar o acesso aos recursos e ações do gateway, você pode usar políticas AWS Identity and Access Management (IAM) com base em tags. É possível conceder o controle de duas formas:

Para obter informações sobre como usar tags para controlar o acesso, consulte Controle do acesso usando tags.

Controle do acesso baseado em tags em um recurso

Para controlar quais ações um usuário ou uma função pode executar em um recurso de gateway, é possível usar tags nesses recursos. Por exemplo, talvez você queira permitir ou negar operações de API específicas em um recurso de gateway de arquivos com base no par de chave/valor da tag no recurso.

O exemplo a seguir permite que um usuário ou uma função execute as ações ListTagsForResource, ListFileShares e DescribeNFSFileShares em todos os recursos. A política será aplicada somente se a tag no recurso tiver sua chave definida como allowListAndDescribe e o valor definido como yes.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "storagegateway:ListTagsForResource",
                "storagegateway:ListFileShares",
                "storagegateway:DescribeNFSFileShares"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/allowListAndDescribe": "yes"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "storagegateway:*"
            ],
            "Resource": "arn:aws:storagegateway:us-east-1:111122223333:*/*"
        }
    ]
}

Controlar o acesso baseado em tags em uma solicitação do IAM

Para controlar o que um usuário pode fazer um recurso de gateway, é possível usar as condições em uma política do IAM baseada em tags. Por exemplo, você pode criar uma política que permita ou negue a um usuário a capacidade de executar operações de API específicas com base na tag fornecida na criação do recurso.

No exemplo a seguir, a primeira instrução permitirá que um usuário crie um gateway somente se o par de chave/valor da tag fornecida na criação do gateway for Department e Finance. Ao usar a operação da API, você adiciona essa tag à solicitação de ativação.

A segunda instrução permitirá que o usuário crie um compartilhamento de arquivos Network File System (NFS) ou Server Message Block (SMB) em um gateway somente se o par de chave/valor da tag no gateway corresponder a Department e Finance. Além disso, o usuário deverá adicionar uma tag ao compartilhamento de arquivos e o par de chave/valor da tag deverá ser Department e Finance. Você adiciona tags a um compartilhamento de arquivos ao criar o compartilhamento de arquivos. Não há permissões para as operações RemoveTagsFromResource e AddTagsToResource, portanto, o usuário não pode executar essas operações no gateway nem no compartilhamento de arquivos.

JSON

{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "storagegateway:ActivateGateway"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:RequestTag/Department":"Finance"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "storagegateway:CreateNFSFileShare",
            "storagegateway:CreateSMBFileShare"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Department":"Finance",
               "aws:RequestTag/Department":"Finance"
            }
         }
      }
   ]
}