本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用標籤來控制對閘道和資源的存取
若要控制對閘道資源和動作的存取,您可以根據標籤使用 AWS Identity and Access Management (IAM) 政策。您可以透過兩個方式提供控制:
1. 根據這些資源的標籤控制對閘道資源的存取。
1. 控制您可以在 IAM 請求條件中傳遞哪些標籤。
如需如何使用標籤來控制存取的詳細資訊,請參閱[使用標籤控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
## 根據資源的標籤控制存取
若要控制使用者或角色可以在閘道資源上執行的動作,您可以使用閘道資源的標籤。例如,您可能想要根據資源上標籤的金鑰值組,允許或拒絕檔案閘道資源上的特定 API 操作。
以下範例會允許使用者或角色在所有資源上執行 `ListTagsForResource`、`ListFileShares` 和 `DescribeNFSFileShares` 動作。只有在資源上的標籤已將金鑰設定為 `allowListAndDescribe` 和將值設定為 `yes` 時,才會套用此政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"storagegateway:ListTagsForResource",
"storagegateway:ListFileShares",
"storagegateway:DescribeNFSFileShares"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/allowListAndDescribe": "yes"
}
}
},
{
"Effect": "Allow",
"Action": [
"storagegateway:*"
],
"Resource": "arn:aws:storagegateway:us-east-1:111122223333:*/*"
}
]
}
```
------
## 根據 IAM 請求中的標籤控制存取
若要控制使用者可以對閘道資源執行的動作,您可以根據標籤在 IAM 政策中使用條件。例如,您可以撰寫政策,以根據使用者在建立資源時提供的標籤,允許或拒絕使用者執行特定 API 操作。
在下列範例中,第一個陳述式只會在使用者建立閘道時提供的標籤金鑰值組為 **Department** 和 **Finance** 時,允許使用者建立閘道。使用 API 操作時,您會將此標籤新增到啟用請求。
第二個陳述式只會在閘道上的標籤金鑰值組符合 **Department** 和 **Finance** 時,允許使用者在閘道上建立網路檔案系統 (NFS) 或伺服器訊息區塊 (SMB) 檔案共用。此外,使用者必須將標籤新增到共用檔案,而且標籤的金鑰值組必須為 **Department** 和 **Finance**。您會在建立檔案共用時將標籤新增到檔案共用。沒有 `AddTagsToResource` 或 `RemoveTagsFromResource` 操作的權限,因此使用者無法在閘道或檔案共用上執行這些操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"storagegateway:ActivateGateway"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:RequestTag/Department":"Finance"
}
}
},
{
"Effect":"Allow",
"Action":[
"storagegateway:CreateNFSFileShare",
"storagegateway:CreateSMBFileShare"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Department":"Finance",
"aws:RequestTag/Department":"Finance"
}
}
}
]
}
```
------