Erstellen eines Zugriffspunkts Montage mit Access Points Erzwingen einer Benutzeridentität Erzwingen eines Stammverzeichnisses erzwingen einer Stammliste Verwenden von Access Points in IAM-Richtlinien

Arbeiten mit Amazon EFS Access Points

Amazon EFS Access Points sind anwendungsspezifische Einstiegspunkte in ein EFS-Dateisystem, die das Verwalten des Anwendungszugriffs auf freigegebene Datensätze erleichtern. Zugriffspunkte können eine Benutzeridentität, einschließlich der POSIX-Gruppen des Benutzers, für alle Dateisystemanforderungen erzwingen, die über den Zugriffspunkt erfolgen. Zugriffspunkte können auch ein anderes Stammverzeichnis für das Dateisystem erzwingen, so dass Clients nur auf Daten im angegebenen Verzeichnis oder in seinen Unterverzeichnissen zugreifen können.

Mithilfe vonAWS Identity and Access Management (IAM) -Richtlinien können Sie erzwingen, dass bestimmte Anwendungen einen Zugriffspunkt verwenden. Durch die Kombination von IAM-Richtlinien mit Zugriffspunkten können Sie ganz einfach einen sicheren Zugriff auf bestimmte Datasets für Ihre Anwendungen bereitstellen.

Anmerkung

Sie müssen mindestens ein Mount-Ziel in Ihrem EFS-Dateisystem erstellen, um Access Points verwenden zu können.

Weitere Informationen zum Erstellen eines Zugriffspunkts finden Sie unter Erstellen und Löschen von Zugangspunkten.

Themen

Erstellen eines Zugriffspunkts
Mounten eines Dateisystems über einen Access Point
Durchsetzung einer Benutzeridentität mithilfe eines Access Points
Ein Stammverzeichnis mit einem Access Point erzwingen
Verwenden von Access Points in IAM-Richtlinien

Erstellen eines Zugriffspunkts

Mithilfe der API, derAWS Command Line Interface (AWS CLI) und derAWS Management Console EFS-API können Sie Access Points für ein vorhandenes Amazon EFS-Dateisystem erstellen. Ein Amazon EFS-Dateisystem kann maximal 1.000 Access Points haben. Sie können einen vorhandenen Access Point nicht ändern, nachdem er erstellt wurde.

step-by-step Verfahren zum Erstellen eines Access Points finden Sie unterErstellen und Löschen von Zugangspunkten.

Mounten eines Dateisystems über einen Access Point

Sie verwenden den EFS-Mount-Helfer, wenn Sie ein Dateisystem mit einem Zugriffspunkt mounten. Im Mounting-Befehl müssen Sie die Dateisystem-ID, die Zugriffspunkt-ID und die im folgenden Beispiel gezeigte Mountingoption tls einschließen.


$ mount -t efs -o tls,iam,accesspoint=fsap-abcdef0123456789a fs-abc0123def456789a: /localmountpoint

Weitere Hinweise zum Mounting von Dateisystemen mithilfe eines Zugriffspunkts finden Sie unter Mounting mit EFS-Zugangspunkten.

Durchsetzung einer Benutzeridentität mithilfe eines Access Points

Sie können einen Zugriffspunkt verwenden, um Benutzer- und Gruppeninformationen für alle Dateisystemanforderungen durchzusetzen, die über den Zugriffspunkt erfolgen. Um diese Funktion zu aktivieren, müssen Sie die Betriebssystemidentität angeben, die beim Erstellen des Zugriffspunkts erzwungen werden soll.

Als Teil davon geben Sie Folgendes an:

Benutzer-ID — Die numerische POSIX-Benutzer-ID für den Benutzer.
Gruppen-ID — Die numerische POSIX-Gruppen-ID für den Benutzer.
Sekundäre Gruppen-IDs — Eine optionale Liste sekundärer Gruppen-IDs.

Wenn die Benutzererzwingung aktiviert ist, ersetzt Amazon EFS die Benutzer- und Gruppen-IDs des NFS-Clients durch die auf dem Access Point konfigurierte Identität für alle Dateisystemvorgänge. Die Benutzererzwingung zeigt zudem folgende Wirkung:

Der Besitzer und die Gruppe für neue Dateien und Verzeichnisse werden auf die Benutzer-ID und die Gruppen-ID des Zugriffspunkts festgelegt.
EFS berücksichtigt bei der Auswertung der Dateisystemberechtigungen die Benutzer-ID, die Gruppen-ID und die sekundären Gruppen-IDs des Zugriffspunkts. EFS ignoriert die IDs des NFS-Clients.

Wichtig

Das Erzwingen einer Benutzeridentität unterliegt der ClientRootAccess-IAM-Berechtigung.

In einigen Fällen können Sie beispielsweise die Benutzer-ID oder die Gruppen-ID des Zugriffspunkts oder beide als Root konfigurieren (d. h. die UID, die GID oder beide auf 0 setzen). In solchen Fällen müssen Sie dem NFS-Client die ClientRootAccess-IAM-Berechtigung erteilen.

Ein Stammverzeichnis mit einem Access Point erzwingen

Sie können einen Zugriffspunkt verwenden, um das Stammverzeichnis für ein Dateisystem außer Kraft zu setzen. Wenn Sie ein Stammverzeichnis erzwingen, verwendet der NFS-Client, der den Zugriffspunkt verwendet, das auf dem Zugriffspunkt konfigurierte Stammverzeichnis anstelle des Stammverzeichnisses des Dateisystems.

Sie aktivieren diese Funktion, indem Sie beim Erstellen eines Zugriffspunkts das Attribut Path festlegen. Das Path-Attribut ist der vollständige Pfad des Stammverzeichnisses des Dateisystems für alle Dateisystemanforderungen, die über diesen Zugriffspunkt erfolgen. Der vollständige Pfad darf nicht mehr als 100 Zeichen lang sein. Es kann bis zu vier Unterverzeichnisse enthalten.

Wenn Sie ein Stammverzeichnis auf einem Zugriffspunkt angeben, wird es zum Stammverzeichnis des Dateisystems für den NFS-Client, der den Zugriffspunkt mountet. Angenommen, das Stammverzeichnis Ihres Zugriffspunkts ist /data. In diesem Fall zeigt das Mounten von fs-12345678:/ mittels des Zugriffspunkts die gleiche Wirkung wie das Mounten von fs-12345678:/data, ohne den Zugriffspunkt zu verwenden.

Stellen Sie bei der Angabe eines Stammverzeichnisses im Zugriffspunkt sicher, dass die Verzeichnisberechtigungen so konfiguriert sind, dass der Benutzer des Zugriffspunkts das Dateisystem erfolgreich mounten kann. Stellen Sie insbesondere sicher, dass das Ausführungs-Bit für den Benutzer bzw. die Gruppe des Zugriffspunkts oder für alle festgelegt ist. Mit einem Verzeichnisberechtigungswert von 755 kann der Verzeichnisbenutzer beispielsweise Dateien auflisten, Dateien erstellen und mounten, und alle anderen Benutzer können Dateien auflisten und mounten.

Das Stammverzeichnis für einen Access Point erstellen

Wenn im Dateisystem kein Stammverzeichnispfad für einen Access Point vorhanden ist, erstellt Amazon EFS dieses Stammverzeichnis automatisch mit den angegebenen Besitzverhältnissen und Berechtigungen. Amazon EFS erstellt das Stammverzeichnis nicht, wenn Sie bei der Erstellung nicht die Eigentümerschaft und die Berechtigungen für das Verzeichnis angeben. Dieser Ansatz ermöglicht es, einen Dateisystemzugriff für einen bestimmten Benutzer oder eine bestimmte Anwendung bereitzustellen, ohne Ihr Dateisystem von einem Linux-Host zu mounten. Um ein Stammverzeichnis zu erstellen, müssen Sie den Besitz und die Berechtigungen für das Stammverzeichnis konfigurieren, indem Sie beim Erstellen eines Access Points die folgenden Attribute verwenden:

OwnerUid— Die numerische POSIX-Benutzer-ID, die als Besitzer des Stammverzeichnisses verwendet werden soll.
OwnerGiD— Die numerische POSIX-Gruppen-ID, die als Eigentümergruppe des Stammverzeichnisses verwendet werden soll.
Berechtigungen — Der Unix-Modus des Verzeichnisses. Eine allgemeine Konfiguration ist 755. Stellen Sie sicher, dass das Ausführungs-Bit für den Benutzer des Zugriffspunkts festgelegt ist, damit er mounten kann. Diese Konfiguration erteilt dem Verzeichnisbesitzer die Berechtigung, neue Dateien in das Verzeichnis einzugeben und zu schreiben und in ihm aufzulisten. Sie erteilt allen anderen Benutzern die Berechtigung, Dateien einzugeben und aufzulisten. Weitere Informationen zum Arbeiten mit Unix-Datei- und Verzeichnismodi finden Sie unter Mit Benutzern, Gruppen und Berechtigungen auf Network File System-(NFS-)Level arbeiten.

Amazon EFS erstellt nur dann ein Zugriffspunkt, wenn das Verzeichnis OwnUid, OwnGID und Berechtigungen für das Verzeichnis angegeben sind. Wenn Sie diese Informationen nicht angeben, erstellt Amazon EFS das Stammverzeichnis nicht. Wenn das Stammverzeichnis nicht existiert, schlagen Mount-Versuche beim Zugriffspunkt fehl.

Wenn Sie ein Dateisystem mit einem Access Point mounten, wird das Stammverzeichnis für den Access Point erstellt, sofern das Verzeichnis noch nicht existiert, vorausgesetzt, das Stammverzeichnis OwnerUid und die Berechtigungen wurden bei der Erstellung des Access Points angegeben. Wenn das Stammverzeichnis des Access Points bereits vor dem Mount-Zeitpunkt existiert, werden die vorhandenen Berechtigungen nicht vom Access Point überschrieben. Wenn Sie das Stammverzeichnis löschen, erstellt EFS es neu, wenn das Dateisystem das nächste Mal über den Zugriffspunkt gemountet wird.

Anmerkung

Wenn Sie das Stammverzeichnis nicht angeben, erstellt Amazon EFS das Stammverzeichnis nicht angeben, erstellt Amazon EFS das Stammverzeichnis nicht angeben. Alle Versuche beim Zugriffspunkt fehl.

Sicherheitsmodell für Access Point-Stammverzeichnisse

Wenn ein Root-Directory-Override aktiv ist, verhält sich Amazon EFS wie ein Linux-NFS-Server, bei dem dieno_subtree_check Option aktiviert ist.

Im NFS-Protokoll generieren Server Dateihandles, die von Clients als eindeutige Referenzen beim Zugriff auf Dateien verwendet werden. EFS generiert in sicherer Weise Dateihandles, die unvorhersehbar und spezifisch für ein EFS-Dateisystem sind. Wenn eine Stammverzeichnisüberschreibung vorhanden ist, legt EFS keine Dateihandles für Dateien außerhalb des angegebenen Stammverzeichnisses offen. In einigen Fällen kann ein Benutzer jedoch mithilfe eines out-of-band Mechanismus ein Datei-Handle für eine Datei außerhalb seines Access Points erhalten. Sie verfahren beispielsweise so, wenn sie Zugriff auf einen zweiten Zugriffspunkt haben. Wenn sie dies tun, können sie Lese- und Schreiboperationen für die Datei ausführen.

Dateibesitz und Zugriffsberechtigungen werden immer erzwungen, für den Zugriff auf Dateien innerhalb und außerhalb des Zugriffspunkt-Stammverzeichnisses eines Benutzers.

Verwenden von Access Points in IAM-Richtlinien

Mit einer IAM-Richtlinie können Sie erzwingen, dass ein bestimmter NFS-Client, der durch seine IAM-Rolle identifiziert wird, nur auf einen bestimmten Zugriffspunkt zugreifen kann. Dazu verwenden Sie den elasticfilesystem:AccessPointArn-IAM-Bedingungsschlüssel. Der AccessPointArn ist der Amazon-Ressourcenname (ARN) des Zugriffspunkts, mit dem das Dateisystem gemountet ist.

Es folgt ein Beispiel für eine Dateisystemrichtlinie, die es der IAM-Rolle app1 ermöglicht, über den Zugriffspunkt fsap-01234567 auf das Dateisystem zuzugreifen. Die Richtlinie ermöglicht app2 auch die Verwendung des Dateisystems über den Zugriffspunkt fsap-89abcdef.


{
    "Version": "2012-10-17",
    "Id": "MyFileSystemPolicy",
    "Statement": [
        {
            "Sid": "App1Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567"
                }
            }
        },
        {
            "Sid": "App2Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef"
                }
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datei- und Verzeichnisberechtigungen

Blockieren des öffentlichen Zugriffs