기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon EFS에서 태그 사용
태그를 사용하여 Amazon EFS 리소스에 대한 액세스를 제어하고 ABAC(속성 기반 액세스 제어)를 구현할 수 있습니다. 자세한 내용은 다음을 참조하세요.
+ [EFS 리소스에 태그 지정](manage-fs-tags.md)
+ [리소스의 태그를 기반으로 액세스 제어](#resource-tag-control)
+ *IAM 사용 설명서*의 [ABAC는 무엇입니까 AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
**참고**
Amazon EFS 복제는 ABAC(속성 기반 액세스 제어)에 대한 태그 사용을 지원하지 않습니다.
생성 중에 Amazon EFS 리소스에 태그를 적용하려면 사용자에게 AWS Identity and Access Management (IAM) 권한이 있어야 합니다.
## 생성 시 리소스 태그 지정에 대한 권한 부여
다음과 같은 생성 시 태그 지정 Amazon EFS API 작업을 사용하면 리소스를 생성할 때 태그를 지정할 수 있습니다.
+ `CreateAccessPoint`
+ `CreateFileSystem`
사용자가 생성 시 리소스에 태그를 지정할 수 있으려면 리소스를 생성하는 작업을 사용할 권한이 있어야 합니다(예: `elasticfilesystem:CreateAccessPoint` 또는 `elasticfilesystem:CreateFileSystem`). 리소스 생성 작업에 태그가 지정된 경우는 `elasticfilesystem:TagResource` 작업에 대한 추가 권한 부여를 AWS 수행하여 사용자에게 태그를 생성할 권한이 있는지 확인합니다. 따라서 사용자는 `elasticfilesystem:TagResource` 작업을 사용할 명시적 권한도 가지고 있어야 합니다.
`elasticfilesystem:TagResource` 작업에 대한 IAM 정책 정의에서 `Condition` 조건 키와 함께 `elasticfilesystem:CreateAction` 요소를 사용하여 리소스를 만드는 작업에 태그 지정 권한을 부여합니다.
**Example 정책: 파일 시스템 생성 시 태그 추가 허용**
다음 예제의 정책은 사용자가 파일 시스템을 생성하고 생성 도중 태그를 적용하는 것을 허용합니다. 사용자는 기존 리소스에 태그를 지정할 수 없습니다(`elasticfilesystem:TagResource` 작업을 직접 호출할 수 없습니다).
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateFileSystem"
],
"Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
},
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:TagResource"
],
"Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"elasticfilesystem:CreateAction": "CreateFileSystem"
}
}
}
]
}
```
## 태그를 사용하여 Amazon EFS 리소스에 대한 액세스 제어
Amazon EFS 리소스 및 작업에 대한 액세스를 제어하려면 태그를 기반으로 IAM 정책을 사용할 수 있습니다. 두 가지 방법으로 제어할 수 있습니다.
+ Amazon EFS 리소스의 태그를 기반으로 리소스에 대한 액세스를 제어할 수 있습니다.
+ IAM 요청 조건에 어떤 태그가 전달될 수 있는지를 제어할 수 있습니다.
태그를 사용하여 AWS 리소스에 대한 액세스를 제어하는 방법에 대한 자세한 내용은 *IAM 사용 설명서*의 [태그를 사용하여 액세스 제어를](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) 참조하세요.
## 리소스의 태그를 기반으로 액세스 제어
사용자나 역할이 Amazon EFS 리소스에서 어떤 작업을 수행할 수 있는지를 제어하기 위해 리소스의 태그를 사용할 수 있습니다. 예를 들어, 리소스에 있는 태그의 키-값 페어를 기반으로 파일 시스템 리소스에서 특정 API 작업을 허용하거나 거부할 수 있습니다.
**Example 정책: 특정 태그를 사용하는 경우에만 파일 시스템을 생성**
다음 예제 정책을 통해 사용자는 특정 태그 키-값 페어(이 예제에서는 `key=Department`, `value=Finance`)로 태그를 지정하는 경우에만 파일 시스템을 생성할 수 있습니다.
```
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateFileSystem",
"elasticfilesystem:TagResource"
],
"Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example 정책: 특정 태그가 있는 파일 시스템 삭제**
다음 예제 정책은 사용자가 `Department=Finance` 태그가 지정된 파일 시스템만 삭제하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteFileSystem"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
------