本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon EFS 中使用標籤
<a name="using-tags-efs"></a>

您可以使用標籤來控制對 Amazon EFS 資源的存取，以及實作屬性型存取控制 (ABAC)。如需詳細資訊，請參閱：
+ [標記 EFS 資源](manage-fs-tags.md)
+ [根據資源的標籤控制存取](#resource-tag-control)
+ *IAM 使用者指南*中的 [ABAC 適用於什麼 AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 

**注意**  
Amazon EFS 複寫不支援將標籤用於屬性型存取控制 (ABAC)。

若要在建立期間將標籤套用至 Amazon EFS 資源，使用者必須擁有特定 AWS Identity and Access Management (IAM) 許可。

## 在建立期間授與標籤資源的許可
<a name="supported-iam-actions-tagging"></a>

通過以下標籤建立 Amazon EFS API 動作，可讓您在建立資源是指定標籤。
+ `CreateAccessPoint`
+ `CreateFileSystem`

 使用者若要在建立時標記資源，他們必須具備建立資源動作 (如 `elasticfilesystem:CreateAccessPoint` 或 `elasticfilesystem:CreateFileSystem`) 的使用許可。如果在資源建立動作中指定標籤， 會對`elasticfilesystem:TagResource`動作 AWS 執行其他授權，以驗證使用者是否具有建立標籤的許可。因此，使用者必須同時具備使用 `elasticfilesystem:TagResource` 動作的明確許可。

在 `elasticfilesystem:TagResource` 動作的 IAM 政策定義中，搭配 `elasticfilesystem:CreateAction` 條件金鑰使用 `Condition` 元素，將標記許可給與建立資源的動作。

**Example 政策：只允許在建立期間將標籤新增至檔案系統**  
以下範例政策只允許使用者建立檔案系統，並且只在建立期間將標籤套用至檔案系統。使用者沒有標記現有資源的權限 (他們不能直接呼叫 `elasticfilesystem:TagResource` 動作)。  

```
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
    },
    {
      "Effect": "Allow",
      "Action": [
         "elasticfilesystem:TagResource"
      ],
      "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
      "Condition": {
         "StringEquals": {
             "elasticfilesystem:CreateAction": "CreateFileSystem"
          }
       }
    }
  ]
}
```

## 使用標籤來控制對 Amazon EFS 資源的存取
<a name="restrict-efs-access-tags"></a>

若要控制對 Amazon EFS 資源和動作的存取，您可以根據標籤使用 IAM 政策。您可以透過兩個方式提供控制：
+ 您可以根據這些資源的標籤來控制對檔案 Amazon EFS 資源的存取。
+ 您可以控制在 IAM 請求條件中傳遞的標籤。

如需有關如何使用標籤來控制 AWS 資源存取的資訊，請參閱《*IAM 使用者指南*》中的[使用標籤控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

## 根據資源的標籤控制存取
<a name="resource-tag-control"></a>

若要控制使用者或角色可以在 Amazon EFS 資源上執行的動作，您可以使用資源的標籤。例如，您可能想要根據資源上標籤的金鑰值組，允許或拒絕檔案系統資源上的特定 API 操作。

**Example 政策：只有使用特定標籤才能建立檔案系統**  

僅有當使用者使用特定鍵值對 (如範例 `key=Department`、`value=Finance`) 標記檔案系統后，下列範例政策才允許其建立檔案系統。

```
{
    "Effect": "Allow",
    "Action": [
        "elasticfilesystem:CreateFileSystem",
        "elasticfilesystem:TagResource"
    ],
    "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
    "Condition": {
        "StringEquals": {
            "aws:RequestTag/Department": "Finance"
        }
    }
}
```

**Example 政策：刪除具有特定標籤的檔案系統**  

以下範例政策允許使用者只刪除標記為 `Department=Finance` 的檔案系統。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DeleteFileSystem"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Department": "Finance"
                }
            }
        }
    ]
}
```

------