Información general sobre la administración de permisos de acceso a los recursos de Amazon EFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general sobre la administración de permisos de acceso a los recursos de Amazon EFS

Todos losAWSRecurso es propiedad de un Cuenta de AWS y los permisos para crear o tener acceso a un recurso se rigen por las políticas de permisos. Un administrador de cuentas puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios, incluido Amazon EFS, permiten también asociar políticas de permisos a los recursos.

nota

Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

Recursos y operaciones de Amazon EFS

En Amazon EFS, el recurso principal es unaSistema de archivos. Amazon EFS también admite otros tipos de recursos, ladestino de montajeypunto de acceso. Sin embargo, para Amazon EFS, puede crear destinos de montaje y puntos de acceso solo en el contexto de un sistema de archivos existente. Los objetivos de montaje y los puntos de acceso se denominan subrecursos.

Estos recursos y subrecursos tienen nombres de recursos de Amazon (ARN) únicos asociados a ellos, tal y como se muestra en la siguiente tabla:

Tipo de recurso Formato de ARN
Sistema de archivos arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
Punto de acceso arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id

Amazon EFS proporciona un conjunto de operaciones para trabajar con recursos de Amazon EFS. Para obtener una lista de las operaciones disponibles, consulte Amazon EFSActionsyAcciones EFS para clientes.

Titularidad de los recursos

La Cuenta de AWS es la propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de laentidad principal(es decir, la cuenta raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos. Los siguientes ejemplos ilustran cómo funciona:

  • Si usa las credenciales de la cuenta raíz de su Cuenta de AWS Para crear un sistema de archivos, la Cuenta de AWS es el propietario del recurso (en Amazon EFS, el recurso es el sistema de archivos).

  • Si crea un usuario de IAM en su Cuenta de AWS Y conceder permisos para crear un sistema de archivos para ese usuario, el usuario puede crear un sistema de archivos. Sin embargo, su Cuenta de AWS El recurso del sistema de archivos es el propietario del recurso del sistema de archivos.

  • Si crea un rol de IAM en su Cuenta de AWS Con permisos para crear un sistema de archivos, cualquier persona que pueda asumir el rol podrá crear un sistema de archivos. Sus Cuenta de AWS El recurso del sistema de archivos es la propietaria del recurso del sistema de archivos.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se explica cómo se usa IAM en el contexto de Amazon EFS. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte.¿Qué es IAM?en laIAM User Guide. Para obtener más información acerca de la sintaxis y descripciones de las políticas de IAM, consulteReferencia de la política de IAMen laIAM User Guide.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. Amazon EFS es compatible con las políticas basadas en identidades y las políticas basadas en recursos.

Políticas basadas en identidad (políticas de IAM)

Puede adjuntar políticas a identidades de IAM para controlar el acceso a la API de EFS o para controlar el acceso del cliente NFS. Por ejemplo, para conceder a un usuario permisos para crear un recurso de Amazon EFS, como un sistema de archivos, puede adjuntar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.

Para obtener más información acerca del uso de IAM para delegar permisos, consulteAdministración de accesosen laIAM User Guide.

A continuación se ofrece un ejemplo de política que proporciona los permisos EFS y EC2 necesarios para que un usuario realice elCreateFileSystemacción para su Cuenta de AWS .

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1EFSpermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "Stmt2EC2permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ]

Para obtener más información acerca del uso de políticas basadas en identidades con Amazon EFS, consulteControl del acceso al API de EFS. Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas basadas en recursos

Puede utilizar políticas del sistema de archivos para controlar el acceso a la API y el acceso del cliente NFS al sistema de archivos. Amazon EFS admite una política basada en recursos para sistemas de archivos, denominadaFileSystemPolicy. Mediante FileSystemPolicy de EFS puede especificar quién tiene acceso al sistema de archivos y qué acciones pueden realizar en él. El uso de políticas del sistema de archivos proporciona una forma sencilla de controlar el acceso a los sistemas de archivos y permite conceder permisos de uso a otras cuentas por sistema de archivos. Las siguientes directivas de file system concedenClientMountPermisos de, o de solo lectura, paraEfsReadOnlyRol de IAM.

{ "Version": "2012-10-17", "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ] } ] }
nota

Las políticas del sistema de archivos de Amazon EFS tienen un límite de 20.000 caracteres.

Para obtener más información acerca del uso de políticas del sistema de archivos EFS para controlar el acceso a datos del sistema de archivos, consulteUso de IAM para controlar el acceso a los datos del sistema de archivos.

Especificar elementos de políticas: acciones, efectos y entidades de seguridad

Para cada recurso de Amazon EFS (consulteRecursos y operaciones de Amazon EFS), el servicio define un conjunto de acciones de las operaciones de API de (consulteActionsyAcciones EFS para clientes) para los que puede conceder permisos. Para el recurso del sistema de archivos de Amazon EFS, las acciones de ejemplo son:CreateFileSystem,DeleteFileSystem, yDescribeFileSystems. Para realizar una operación API pueden ser necesarios permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:

  • Recurso: en las políticas basadas en recursos (políticas del sistema de archivos), el recurso al que se asocia esta política es el recurso implícito. Para las basadas en identidad, utilice un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplican. Para obtener más información, consulte Recursos y operaciones de Amazon EFS.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del efecto especificado,elasticfilesystem:CreateFileSystempermite o deniega los permisos de usuario para realizar EFSCreateFileSystem.

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).

Para obtener más información acerca de la sintaxis y descripciones de las políticas de IAM, consulteReferencia de la política de IAMen laIAM User Guide.

Para ver una tabla con todas las acciones de API de Amazon EFS, consulte.Permisos de la API de Amazon EFS: referencia de acciones, recursos y condiciones.

Para obtener una tabla con todas las acciones de cliente de Amazon EFS NFS de, consulteUso de IAM para controlar el acceso a los datos del sistema de archivos.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Para obtener más información acerca de cómo especificar condiciones en una política, consulteElementos de la política JSON de IAM: Condiciónen laIAM User Guide.

Existen tanto específicos de EFS comoAWSEstas claves generales de que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles para las condiciones en la Guía del usuario de IAM. Para obtener una lista completa de las claves de condición específicas de EFS, consulte Claves de condición EFS para clientes.

nota

Laaws:SourceIp AWSse puede utilizar para controlar qué hosts son capaces de usar acciones de EFS comoCreateFileSystem,CreateMountTarget,DeleteMountTarget,DescribeMountTargetSecurityGroups, o bienModifyMountTargetSecurityGroupacciones. Laaws:SourceIpPara controlar el acceso NFS a destinos de montaje EFS, pero no es el enfoque recomendado debido a consideraciones de seguridad. Para controlar el acceso a estos destinos, consulte Control del acceso de red a los sistemas de archivos de Amazon EFS para clientes NFS.