Información general sobre la administración de los permisos de acceso a los recursos de Amazon EFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general sobre la administración de los permisos de acceso a los recursos de Amazon EFS

Cada recurso de AWS es propiedad de una Cuenta de AWS y los permisos para crear u obtener acceso a un recurso se rigen por las políticas de los permisos. Un administrador de cuentas puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios, incluido Amazon EFS, también permiten asociar políticas de permisos a los recursos.

nota

Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

Operaciones y recursos de Amazon EFS

En Amazon EFS, el recurso principal esSistema de archivos. Amazon EFS también admite otros tipos de recursos, laobjetivo de montajeypunto de acceso. Sin embargo, para Amazon EFS, puede crear destinos de montaje y puntos de acceso solo en el contexto de un sistema de archivos existente. Los objetivos de montaje y los puntos de acceso se denominansubrecursos.

Estos recursos y subrecursos tienen nombres de recursos de Amazon (ARN) únicos asociados a ellos, tal y como se muestra en la siguiente tabla:

Tipo de recurso Formato de ARN
Sistema de archivos arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
Punto de acceso arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id

Amazon EFS proporciona un conjunto de operaciones para trabajar con recursos de Amazon EFS. Para obtener una lista de las operaciones disponibles, consulte Amazon EFSAccionesyAcciones de EFS para clientes.

Titularidad de los recursos

La Cuenta de AWS es la propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario de los recursos es la Cuenta de AWS de la entidad principal (es decir, la cuenta raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos. Los siguientes ejemplos ilustran cómo funciona:

  • Si utiliza las credenciales de la cuenta raíz de suCuenta de AWSPara crear un sistema de archivos,Cuenta de AWSes el propietario del recurso (en Amazon EFS, el recurso es el sistema de archivos).

  • Si crea un usuario de IAM enCuenta de AWSy conceder permisos para crear un sistema de archivos a ese usuario, el usuario puede crear un sistema de archivos. Sin embargo, suCuenta de AWS, al que pertenece el usuario, será la propietaria del recurso del sistema de archivos.

  • Si crea un rol de IAM en suCuenta de AWScon permisos para crear un sistema de archivos, cualquier persona que pueda asumir el rol podrá crear un sistema de archivos. SusCuenta de AWS, a la que pertenece el rol, será la propietaria del recurso del sistema de archivos.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección, también se explica el uso de IAM en el contexto de Amazon EFS. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas del IAM, consulte Referencia de políticas de IAM de en la Guía del usuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. Amazon EFS es compatible con las políticas basadas en identidad y las políticas basadas en recursos.

Políticas basadas en identidad (políticas de IAM)

Puede adjuntar políticas a identidades de IAM para controlar el acceso a la API de EFS o para controlar el acceso del cliente NFS. Por ejemplo, para conceder a un usuario permisos para crear un recurso de Amazon EFS, como un sistema de archivos, puede adjuntar una política de permisos a un usuario o grupo al que pertenezca el usuario.

Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

A continuación se ofrece un ejemplo de política que proporciona los permisos EFS y EC2 necesarios para que un usuario realice laCreateFileSystemacción para tuCuenta de AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1EFSpermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "Stmt2EC2permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ]

Para obtener más información acerca del uso de políticas basadas en identidad con Amazon EFS, consulteControl del acceso a la API de EFS. Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas con base en recursos

Puede utilizar políticas del sistema de archivos para controlar el acceso a la API de y el acceso del cliente NFS al sistema de archivos. Amazon EFS admite una política basada en recursos para sistemas de archivos, denominadaFileSystemPolicy. Mediante FileSystemPolicy de EFS puede especificar quién tiene acceso al sistema de archivos y qué acciones pueden realizar en él. El uso de políticas del sistema de archivos proporciona una forma sencilla de controlar el acceso a los sistemas de archivos y permite conceder permisos de uso a otras cuentas por sistema de archivos. La siguiente directiva del sistema de archivos concedeClientMount, o de solo lectura, a laEfsReadOnlyRol de IAM.

{ "Version": "2012-10-17", "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ] } ] }
nota

Las políticas del sistema de archivos de Amazon EFS tienen un límite de 20 000 caracteres.

Para obtener más información acerca del uso de políticas del sistema de archivos EFS para controlar el acceso a los datos del sistema de archivos, consulteUso de IAM para controlar el acceso a los datos del sistema de archivos.

Especificar elementos de políticas: acciones, efectos y entidades de seguridad

Para cada recurso de Amazon EFS (consulteOperaciones y recursos de Amazon EFS), el servicio define un conjunto de operaciones de la API de acciones de (consulteAccionesyAcciones de EFS para clientes) para los que puedes conceder permisos. Para el recurso del sistema de archivos de Amazon EFS, las acciones de ejemplo son:CreateFileSystem,DeleteFileSystem, yDescribeFileSystems. Para realizar una operación API pueden ser necesarios permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:

  • Recurso: en las políticas basadas en recursos (políticas del sistema de archivos), el recurso al que se asocia la política es el recurso implícito. Para las basadas en identidad, utilice un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplican. Para obtener más información, consulte Operaciones y recursos de Amazon EFS.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del efecto especificado,elasticfilesystem:CreateFileSystempermite o deniega los permisos de usuario para realizar Amazon EFSCreateFileSystem.

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM consulte Referencia de la política de IAM de de la Guía del usuario de IAM.

Para ver una tabla con todas las acciones de API de Amazon EFS, consultePermisos de la API de Amazon EFS: referencia de acciones, recursos y condiciones.

Para ver una tabla con todas las acciones del cliente de Amazon EFS NFS, consulteUso de IAM para controlar el acceso a los datos del sistema de archivos.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Para obtener más información acerca de cómo especificar condiciones en una política, consulteElementos de política JSON de IAM: Condiciónen laIAM User Guide.

Hay tanto específicos de EFS comoAWSclaves generales de que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles para las condiciones en la Guía del usuario de IAM. Para obtener una lista completa de las claves de condición específicas de EFS, consulte Claves de condición EFS para clientes.

nota

Laaws:SourceIp AWSLa condición general de se puede utilizar para controlar los hosts que son capaces de usar acciones EFS comoCreateFileSystem,CreateMountTarget,DeleteMountTarget,DescribeMountTargetSecurityGroups, o bienModifyMountTargetSecurityGroupacciones. Laaws:SourceIpLa condición se puede utilizar para controlar el acceso NFS a los destinos de montaje de EFS, pero no es el enfoque recomendado debido a consideraciones de seguridad. Para controlar el acceso a estos destinos, consulte Control del acceso de red a los file systems de Amazon EFS para clientes NFS.