Arbeiten mit Amazon-EFS-Zugangspunkten - Amazon Elastic File System
Erstellen eines ZugriffspunktsMounten mit ZugangspunktenDurchsetzen einer BenutzeridentitätErzwingen eines StammverzeichnissesVerwenden von Zugangspunkten in IAM-Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit Amazon-EFS-Zugangspunkten

Amazon-EFS-Zugangspunkte sind anwendungsspezifische Einstiegspunkte in ein EFS-Dateisystem, die das Verwalten des Anwendungszugriffs auf freigegebene Datensätze erleichtern. Zugriffspunkte können eine Benutzeridentität, einschließlich der POSIX-Gruppen des Benutzers, für alle Dateisystemanforderungen erzwingen, die über den Zugriffspunkt erfolgen. Zugriffspunkte können auch ein anderes Stammverzeichnis für das Dateisystem erzwingen, so dass Clients nur auf Daten im angegebenen Verzeichnis oder in seinen Unterverzeichnissen zugreifen können.

Sie können AWS Identity and Access Management (IAM-) Richtlinien verwenden, um zu erzwingen, dass bestimmte Anwendungen einen bestimmten Zugriffspunkt verwenden. Durch die Kombination von IAM-Richtlinien mit Zugriffspunkten können Sie ganz einfach einen sicheren Zugriff auf bestimmte Datasets für Ihre Anwendungen bereitstellen.

Anmerkung

Sie müssen mindestens ein Mount-Ziel in Ihrem EFS-Dateisystem erstellen, um Zugangspunkte verwenden zu können.

Weitere Informationen zum Erstellen eines Zugriffspunkts finden Sie unter Erstellen von Zugriffspunkten.

Erstellen eines Zugriffspunkts

Sie können Zugriffspunkte für ein vorhandenes Amazon EFS-Dateisystem mithilfe der API AWS Management Console, der AWS Command Line Interface (AWS CLI) und der EFS-API erstellen. Ein Amazon-EFS-Dateisystem kann maximal 1 000 Zugangspunkte haben. Sie können einen bestehenden Zugangspunkt nicht mehr ändern, nachdem er erstellt wurde.

step-by-step Verfahren zum Erstellen eines Access Points finden Sie unterErstellen von Zugriffspunkten.

Mounten eines Dateisystems mithilfe eines Zugangspunkts

Sie verwenden den EFS-Mount-Helfer, wenn Sie ein Dateisystem mit einem Zugriffspunkt mounten. Im Mounting-Befehl müssen Sie die Dateisystem-ID, die Zugriffspunkt-ID und die im folgenden Beispiel gezeigte Mountingoption tls einschließen.

$ mount -t efs -o tls,iam,accesspoint=fsap-abcdef0123456789a fs-abc0123def456789a: /localmountpoint

Weitere Hinweise zum Mounting von Dateisystemen mithilfe eines Zugriffspunkts finden Sie unter Mounting mit EFS-Zugangspunkten.

Erzwingen einer Benutzeridentität mithilfe eines Zugangspunkts

Sie können einen Zugriffspunkt verwenden, um Benutzer- und Gruppeninformationen für alle Dateisystemanforderungen durchzusetzen, die über den Zugriffspunkt erfolgen. Um diese Funktion zu aktivieren, müssen Sie die Betriebssystemidentität angeben, die beim Erstellen des Zugriffspunkts erzwungen werden soll.

Als Teil davon geben Sie Folgendes an:

  • Benutzer-ID – Die numerische POSIX-Benutzer-ID für den Benutzer.

  • Gruppen-ID – Die numerische POSIX-Gruppen-ID für den Benutzer.

  • Sekundäre Gruppen-IDs – Eine optionale Liste der sekundären Gruppen-IDs.

Wenn die Benutzererzwingung aktiviert ist, ersetzt Amazon EFS die Benutzer- und Gruppen-IDs des NFS-Clients durch die Identität, die auf dem Zugriffspunkt für alle Dateisystemoperationen konfiguriert ist. Die Benutzererzwingung zeigt zudem folgende Wirkung:

  • Der Besitzer und die Gruppe für neue Dateien und Verzeichnisse werden auf die Benutzer-ID und die Gruppen-ID des Zugriffspunkts festgelegt.

  • EFS berücksichtigt bei der Auswertung der Dateisystemberechtigungen die Benutzer-ID, die Gruppen-ID und die sekundären Gruppen-IDs des Zugriffspunkts. EFS ignoriert die IDs des NFS-Clients.

Wichtig

Das Erzwingen einer Benutzeridentität unterliegt der ClientRootAccess-IAM-Berechtigung.

In einigen Fällen können Sie beispielsweise die Benutzer-ID oder die Gruppen-ID des Zugriffspunkts oder beide als Root konfigurieren (d. h. die UID, die GID oder beide auf 0 setzen). In solchen Fällen müssen Sie dem NFS-Client die ClientRootAccess-IAM-Berechtigung erteilen.

Erzwingen eines Stammverzeichnisses mit einem Zugangspunkt

Sie können einen Zugriffspunkt verwenden, um das Stammverzeichnis für ein Dateisystem außer Kraft zu setzen. Wenn Sie ein Stammverzeichnis erzwingen, verwendet der NFS-Client, der den Zugriffspunkt verwendet, das auf dem Zugriffspunkt konfigurierte Stammverzeichnis anstelle des Stammverzeichnisses des Dateisystems.

Sie aktivieren diese Funktion, indem Sie beim Erstellen eines Zugriffspunkts das Attribut Path festlegen. Das Path-Attribut ist der vollständige Pfad des Stammverzeichnisses des Dateisystems für alle Dateisystemanforderungen, die über diesen Zugriffspunkt erfolgen. Der vollständige Pfad darf nicht mehr als 100 Zeichen lang sein. Es kann bis zu vier Unterverzeichnisse enthalten.

Wenn Sie ein Stammverzeichnis auf einem Zugriffspunkt angeben, wird es zum Stammverzeichnis des Dateisystems für den NFS-Client, der den Zugriffspunkt mountet. Angenommen, das Stammverzeichnis Ihres Zugriffspunkts ist /data. In diesem Fall zeigt das Mounten von fs-12345678:/ mittels des Zugriffspunkts die gleiche Wirkung wie das Mounten von fs-12345678:/data, ohne den Zugriffspunkt zu verwenden.

Stellen Sie bei der Angabe eines Stammverzeichnisses im Zugriffspunkt sicher, dass die Verzeichnisberechtigungen so konfiguriert sind, dass der Benutzer des Zugriffspunkts das Dateisystem erfolgreich mounten kann. Stellen Sie insbesondere sicher, dass das Ausführungs-Bit für den Benutzer bzw. die Gruppe des Zugriffspunkts oder für alle festgelegt ist. Mit einem Verzeichnisberechtigungswert von 755 kann der Verzeichnisbenutzer beispielsweise Dateien auflisten, Dateien erstellen und mounten, und alle anderen Benutzer können Dateien auflisten und mounten.

Erstellen des Stammverzeichnisses für einen Zugangspunkt

Wenn auf dem Dateisystem kein Stammverzeichnispfad für einen Zugangspunkt vorhanden ist, erstellt Amazon EFS automatisch dieses Stammverzeichnis mit Besitzrechten und angegebenen Berechtigungen. Amazon EFS erstellt das Stammverzeichnis nicht, wenn Sie bei der Erstellung nicht den Verzeichnisbesitz und die Berechtigungen angeben. Dieser Ansatz ermöglicht es, einen Dateisystemzugriff für einen bestimmten Benutzer oder eine bestimmte Anwendung bereitzustellen, ohne Ihr Dateisystem von einem Linux-Host zu mounten. Zum Erstellen eines Stammverzeichnisses müssen Sie den Besitz und die Berechtigung des Stammverzeichnisses mithilfe der folgenden Attribute konfigurieren, wenn Sie einen Zugangspunkt erstellen:

  • OwnerUid – Die numerische POSIX-Benutzer-ID, die als Besitzer des Stammverzeichnisses verwendet werden soll.

  • OwnerGiD – Die numerische POSIX-Gruppen-ID, die als Besitzergruppe des Stammverzeichnisses verwendet werden soll.

  • Berechtigungen – Der Unix-Modus des Verzeichnisses. Eine allgemeine Konfiguration ist 755. Stellen Sie sicher, dass das Ausführungs-Bit für den Benutzer des Zugriffspunkts festgelegt ist, damit er mounten kann. Diese Konfiguration erteilt dem Verzeichnisbesitzer die Berechtigung, neue Dateien in das Verzeichnis einzugeben und zu schreiben und in ihm aufzulisten. Sie erteilt allen anderen Benutzern die Berechtigung, Dateien einzugeben und aufzulisten. Weitere Informationen zum Arbeiten mit Unix-Datei- und Verzeichnismodi finden Sie unter Arbeiten mit Benutzern, Gruppen und Berechtigungen auf NFS-Ebene (Network File System).

Amazon EFS erstellt nur dann ein Access Point-Stammverzeichnis, wenn die OwnUid, ownGID und die Berechtigungen für das Verzeichnis angegeben sind. Wenn Sie diese Informationen nicht angeben, erstellt Amazon EFS das Stammverzeichnis nicht. Wenn das Stammverzeichnis nicht existiert, schlagen Mount-Versuche beim Zugangspunkt fehl.

Wenn Sie ein Dateisystem mit einem Access Point mounten, wird das Stammverzeichnis für den Access Point erstellt, sofern das Verzeichnis noch nicht existiert, vorausgesetzt, dass das Stammverzeichnis OwnerUid und die Berechtigungen bei der Erstellung des Access Points angegeben wurden. Wenn das auf dem Zugangspunkt konfigurierte Stammverzeichnis bereits vor dem Mounten vorhanden ist, werden die vorhandenen Berechtigungen vom Zugangspunkt nicht überschrieben. Wenn Sie das Stammverzeichnis löschen, erstellt EFS es neu, wenn das Dateisystem das nächste Mal über den Zugriffspunkt gemountet wird.

Anmerkung

Amazon EFS erstellt das Stammverzeichnis nicht, wenn Sie für das Zugangspunkt-Stammverzeichnis nicht den Besitz und die Berechtigungen angeben. Alle Versuche, den Zugangspunkt zu mounten, schlagen fehl.

Sicherheitsmodell für Zugangspunkt-Stammverzeichnisse

Wenn Stammverzeichnis überschrieben wird, verhält sich Amazon EFS wie ein Linux NFS-Server mit aktivierter no_subtree_check-Option.

Im NFS-Protokoll generieren Server Dateihandles, die von Clients als eindeutige Referenzen beim Zugriff auf Dateien verwendet werden. EFS generiert in sicherer Weise Dateihandles, die unvorhersehbar und spezifisch für ein EFS-Dateisystem sind. Wenn eine Stammverzeichnisüberschreibung vorhanden ist, legt EFS keine Dateihandles für Dateien außerhalb des angegebenen Stammverzeichnisses offen. In einigen Fällen kann ein Benutzer jedoch mithilfe eines out-of-band Mechanismus ein Datei-Handle für eine Datei außerhalb seines Zugriffspunkts abrufen. Sie verfahren beispielsweise so, wenn sie Zugriff auf einen zweiten Zugriffspunkt haben. Wenn sie dies tun, können sie Lese- und Schreiboperationen für die Datei ausführen.

Dateibesitz und Zugriffsberechtigungen werden immer erzwungen, für den Zugriff auf Dateien innerhalb und außerhalb des Zugriffspunkt-Stammverzeichnisses eines Benutzers.

Verwenden von Zugangspunkten in IAM-Richtlinien

Mit einer IAM-Richtlinie können Sie erzwingen, dass ein bestimmter NFS-Client, der durch seine IAM-Rolle identifiziert wird, nur auf einen bestimmten Zugriffspunkt zugreifen kann. Dazu verwenden Sie den elasticfilesystem:AccessPointArn-IAM-Bedingungsschlüssel. Der AccessPointArn ist der Amazon-Ressourcenname (ARN) des Zugriffspunkts, mit dem das Dateisystem gemountet ist.

Es folgt ein Beispiel für eine Dateisystemrichtlinie, die es der IAM-Rolle app1 ermöglicht, über den Zugriffspunkt fsap-01234567 auf das Dateisystem zuzugreifen. Die Richtlinie ermöglicht app2 auch die Verwendung des Dateisystems über den Zugriffspunkt fsap-89abcdef.

{
    "Version": "2012-10-17",
    "Id": "MyFileSystemPolicy",
    "Statement": [
        {
            "Sid": "App1Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567"
                }
            }
        },
        {
            "Sid": "App2Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef"
                }
            }
        }
    ]
}