Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Bloquear acceso público
La función de acceso público de Amazon EFS proporciona configuraciones para ayudarle a administrar el acceso público a los sistemas de archivos de Amazon EFS. De forma predeterminada, los sistemas de archivos de Amazon EFS nuevos no permiten el acceso público. Sin embargo, puede modificar las políticas del sistema de archivos para permitir el acceso público.
Bloquear acceso público conAWS Transfer Family
Cuando utiliza Amazon EFS conAWS Transfer Family, las solicitudes de acceso al sistema de archivos recibidas de un servidor de Transfer Family propiedad de una cuenta distinta a la del sistema de archivos se bloquean si el sistema de archivos permite el acceso público. Amazon EFS evalúa las políticas de IAM del sistema de archivos y, si la política es pública, bloquea la solicitud. Para permitirAWS Transfer Familyacceso al sistema de archivos, actualice la directiva del sistema de archivos para que no se considere pública.
nota
El uso de Transfer Family con Amazon EFS está deshabilitado de forma predeterminada paraCuenta de AWSs que tienen sistemas de archivos EFS con políticas que permiten el acceso público que se crearon antes del 6 de enero de 2021. Para habilitar el uso de Transfer Family para acceder a su sistema de archivos, póngase en contacto conAWSSupport.
Qué significa "pública"
Al evaluar si un sistema de archivos permite el acceso público, Amazon EFS asume que la política del sistema de archivos es pública. A continuación, evalúa la política del sistema de archivos para determinar si califica como no pública. Para que se considere no pública, una política de sistema de archivos debe conceder acceso solo a valores fijos (valores que no contienen un comodín) de uno o más de los siguientes:
Un conjunto de Classless Inter-Domain Routings (CIDR), mediante
aws:SourceIp. Para obtener más información sobre CIDR, consulte RFC 4632en la página web de RFC EditoR. UnAWSprincipal de, un usuario, un rol o una entidad principal de servicio (por ejemplo,
aws:PrincipalOrgID)aws:SourceArnaws:SourceVpcaws:SourceVpceaws:SourceOwneraws:SourceAccountelasticfilesystem:AccessedViaMountTargetaws:userid, outside the pattern "AROLEID:*"
En virtud de estas reglas, la siguiente política de ejemplo se considera pública.
{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ] } ] }
Puede hacer que esta directiva del sistema de archivos no sea pública utilizando la clave de condición de EFS.elasticfilesystem:AccessedViaMountTargetEstablezca en true. Puede usarelasticfilesystem:AccessedViaMountTargetpara permitir las acciones EFS especificadas a los clientes que acceden al sistema de archivos EFS mediante un destino de montaje del sistema de archivos. En la siguiente política no pública se utiliza elelasticfilesystem:AccessedViaMountTargetLa clave de condición establecida en true.
{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
Para obtener más información acerca de las claves de condición de Amazon EFS, consulteClaves de condición de EFS para clientes. Para obtener más información acerca de la creación de políticas de file system, consulteCreación de políticas de sistema de archivos.
