本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 搭配 Amazon FSx 使用標籤
您可以使用標籤來控制對 Amazon FSx 資源的存取,以及實作屬性型存取控制 (ABAC)。若要在建立期間將標籤套用至 Amazon FSx 資源,使用者必須具有特定 AWS Identity and Access Management (IAM) 許可。
## 在建立期間授予標籤資源的許可
透過一些建立資源的 Amazon FSx API 動作,您可以在建立資源時指定標籤。您可以使用這些資源標籤來實作屬性型存取控制 (ABAC)。如需詳細資訊,請參閱[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) *IAM 使用者指南*中的 。
若要讓使用者在建立資源時加上標籤,他們必須具有使用建立資源之動作的許可,例如 `fsx:CreateFileSystem`、 `fsx:CreateStorageVirtualMachine`或 `fsx:CreateVolume`。如果在資源建立動作中指定標籤,IAM 會對`fsx:TagResource`動作執行額外的授權,以驗證使用者是否具有建立標籤的許可。因此,使用者必須同時具備使用 `fsx:TagResource` 動作的明確許可。
下列範例政策允許使用者建立檔案系統和儲存虛擬機器 (SVMs),並在建立特定 期間將標籤套用至它們 AWS 帳戶。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:{{region}}:{{account-id}}:file-system/*",
"arn:aws:fsx:{{region}}:{{account-id}}:file-system/*/{{storage-virtual-machine}}/*"
]
}
]
}
```
同樣地,以下政策允許使用者在特定檔案系統上建立備份,並在備份建立期間將任何標籤套用至備份。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:file-system/{{file-system-id}}*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:backup/*"
}
]
}
```
只有在資源建立`fsx:TagResource`動作期間套用標籤時,才會評估動作。因此,如果請求中未指定標籤,則具有建立資源許可 (假設沒有標記條件) 的使用者不需要使用 `fsx:TagResource`動作的許可。然而,若該使用者試圖建立具有標籤的資源卻未具備使用 `fsx:TagResource` 動作的許可,則該請求會失敗。
如需標記 Amazon FSx 資源的詳細資訊,請參閱 [標記 Amazon FSx 資源](tag-resources.md)。如需使用標籤控制 Amazon FSx 資源存取的詳細資訊,請參閱 [使用標籤來控制對 Amazon FSx 資源的存取](#restrict-fsx-access-tags)。
## 使用標籤來控制對 Amazon FSx 資源的存取
若要控制對 Amazon FSx 資源和動作的存取,您可以根據標籤使用 IAM 政策。您可以透過兩個方式提供控制:
+ 您可以根據這些資源上的標籤來控制對 Amazon FSx 資源的存取。
+ 您可以控制在 IAM 請求條件中傳遞的標籤。
如需有關如何使用標籤來控制 AWS 資源存取的資訊,請參閱《*IAM 使用者指南*》中的[使用標籤控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。如需在建立時標記 Amazon FSx 資源的詳細資訊,請參閱 [在建立期間授予標籤資源的許可](#supported-iam-actions-tagging)。如需標記資源的詳細資訊,請參閱 [標記 Amazon FSx 資源](tag-resources.md)。
### 根據資源的標籤控制存取
若要控制使用者或角色可以在 Amazon FSx 資源上執行的動作,您可以在資源上使用標籤。例如,您可能想要根據資源上標籤的金鑰值組,允許或拒絕檔案系統資源上的特定 API 操作。
**Example 範例政策 – 僅在使用特定標籤時建立檔案系統**
此政策允許使用者僅在使用特定標籤鍵/值對標記檔案系統時建立檔案系統,在此範例中為 `key=Department`、`value=Finance`。
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{region}}:{{account-id}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example 範例政策 – 僅建立具有特定標籤之 NetApp ONTAP 磁碟區的 Amazon FSx 備份**
此政策允許使用者僅針對以鍵值對 `key=Department`、 標記的 ONTAP 磁碟區建立 FSx 備份`value=Finance`。備份是使用標籤 建立的`Department=Finance`。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example 範例政策 – 從具有特定標籤的備份建立具有特定標籤的磁碟區**
此政策允許使用者建立`Department=Finance`僅從使用 標記的備份中標記的磁碟區`Department=Finance`。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example 範例政策 – 刪除具有特定標籤的檔案系統**
此政策允許使用者僅刪除以 標記的檔案系統`Department=Finance`。如果他們建立最終備份,則必須使用 標記`Department=Finance`。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example 範例政策 – 刪除具有特定標籤的磁碟區**
此政策允許使用者僅刪除以 標記的磁碟區`Department=Finance`。如果他們建立最終備份,則必須使用 標記`Department=Finance`。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteVolume"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:{{us-east-1}}:{{111122223333}}:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```