本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用标签控制对网关和资源的访问
要控制对网关资源和操作的访问权限,您可以使用基于标签的 AWS Identity and Access Management (IAM) 策略。您可以使用两种方法提供控制:
1. 根据网关资源上的标签控制对这些资源的访问。
1. 控制可以在 IAM 请求条件中传递的标签。
有关如何使用标签控制访问的信息,请参阅[使用标签控制访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
## 根据资源上的的标签控制访问
要控制用户或角色可以对网关资源执行的操作,您可以使用网关资源上的标签。例如,您可能希望根据文件网关资源上的标签的键/值对允许或拒绝对该资源执行特定的 API 操作。
以下示例允许用户或角色对所有资源执行 `ListTagsForResource`、`ListFileShares` 和 `DescribeNFSFileShares` 操作。仅当资源上的标签将其键设置为 `allowListAndDescribe` 并将值设置为 `yes` 时,该策略才适用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"storagegateway:ListTagsForResource",
"storagegateway:ListFileShares",
"storagegateway:DescribeNFSFileShares"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/allowListAndDescribe": "yes"
}
}
},
{
"Effect": "Allow",
"Action": [
"storagegateway:*"
],
"Resource": "arn:aws:storagegateway:us-east-1:111122223333:*/*"
}
]
}
```
------
## 根据 IAM 请求中的标签控制访问
要控制用户可以对网关资源执行的操作,您可以根据标签在 IAM 策略中使用条件。例如,您可以编写一个策略,以根据用户在创建资源时提供的标签允许或拒绝执行特定的 API 操作。
在以下示例中,只有在用户在创建网关时提供的标签的键值对为 **Department** 和 **Finance** 时,第一条语句才允许用户创建网关。在使用该 API 操作时,您可以将该标签添加到激活请求中。
只有在网关上的标签的键值对与 **Department** 和 **Finance** 匹配时,第二条语句才允许用户在网关上创建网络文件系统 (NFS) 或服务器消息块 (SMB) 文件共享。此外,用户还必须将标签添加到文件共享中,并且标签的键/值对必须为 **Department** 和 **Finance**。在创建文件共享时,您可以将标签添加到文件共享中。没有权限执行 `AddTagsToResource` 或 `RemoveTagsFromResource` 操作,因此,用户无法对网关或文件共享执行这些操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"storagegateway:ActivateGateway"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Department":"Finance"
}
}
},
{
"Effect":"Allow",
"Action":[
"storagegateway:CreateNFSFileShare",
"storagegateway:CreateSMBFileShare"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Department":"Finance",
"aws:RequestTag/Department":"Finance"
}
}
}
]
}
```
------