Información general sobre la administración de los permisos de acceso a los recursos de Amazon EFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general sobre la administración de los permisos de acceso a los recursos de Amazon EFS

Cada recurso de AWS es propiedad de una Cuenta de AWS y los permisos para crear u obtener acceso a un recurso se rigen por las políticas de los permisos. Un administrador de cuentas puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios, incluido Amazon EFS, permiten también adjuntar políticas de permisos a los recursos.

nota

Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

Operaciones y recursos de Amazon EFS

En Amazon EFS, el recurso principal es un sistema de archivos. Amazon EFS también admite tipos de recursos adicionales, el destino de montaje y el punto de acceso. Sin embargo, en el caso de Amazon EFS, puede crear destinos de montaje y puntos de acceso solamente en el contexto de un sistema de archivos existente. Los objetivos de montaje y los puntos de acceso se denominan subrecursos.

Estos recursos y subrecursos tienen nombres de recursos de Amazon (ARN) únicos asociados a ellos, tal y como se muestra en la tabla que se incluye a continuación.

Tipo de recurso Formato de ARN
Sistema de archivos arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
Punto de acceso arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id

Amazon EFS proporciona un conjunto de operaciones para trabajar con los recursos de Amazon EFS. Para obtener una lista de las operaciones disponibles, consulte Amazon EFSAcciones yAcciones de EFS para clientes.

nota

No puede restringir la respuesta de las acciones de laDescribeFileSystemDescribeAccessPoint API a recursos de EFS específicos de una política de IAM.

Titularidad de los recursos

La Cuenta de AWS es la propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario de los recursos es la Cuenta de AWS de la entidad principal (es decir, la cuenta raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos. Los siguientes ejemplos ilustran cómo funciona:

  • Si utiliza las credenciales raíz de su cuenta raíz de suCuenta de AWS para crear un sistema de archivos, suCuenta de AWS propietario del recurso (en Amazon EFS, el recurso es el sistema de archivos).

  • Si crea un usuario de IAM en suCuenta de AWS y concede permisos para crear un sistema de archivos para ese usuario, el usuario puede crear un sistema de archivos. Sin embargo, suCuenta de AWS, al que pertenece el usuario, será la propietaria del recurso del sistema de archivos.

  • Si crea un rol de IAM en suCuenta de AWS con permisos para crear un sistema de archivos, cualquier persona que pueda asumir el rol podrá crear un sistema de archivos. SuCuenta de AWS, al que pertenece el rol, será la propietaria del recurso del sistema de archivos.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección, también se explica el uso de IAM en el contexto de Amazon EFS. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas del IAM, consulte Referencia de políticas de IAM de en la Guía del usuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. Amazon EFS es compatible con políticas basadas en identidad y políticas basadas en recursos.

Políticas basadas en identidad (políticas de IAM)

Puede adjuntar políticas a las identidades de IAM para controlar el acceso a la API de EFS o controlar el acceso de los clientes de NFS. Por ejemplo, para conceder permisos de usuario para crear un recurso de Amazon EFS, como un sistema de archivos, puede adjuntar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.

Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

A continuación se ofrece un ejemplo de una política que proporciona los permisos EFS y EC2 necesarios para que un usuario realice laCreateFileSystem acción por suCuenta de AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1EFSpermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "Stmt2EC2permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ]

Para obtener más información acerca del uso de políticas basadas en identidades con Amazon EFS, consulteControlar el acceso a la API de EFS. Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas con base en recursos

Puede utilizar las políticas del sistema de archivos para controlar el acceso a la API y el acceso del cliente NFS al sistema de archivos. Amazon EFS admite una política basada en recursos para sistemas de archivos, denominadaFileSystemPolicy. Mediante FileSystemPolicy de EFS puede especificar quién tiene acceso al sistema de archivos y qué acciones pueden realizar en él. El uso de políticas del sistema de archivos proporciona una forma sencilla de controlar el acceso a los sistemas de archivos y permite conceder permisos de uso a otras cuentas por sistema de archivos. La siguiente política del sistema de archivos otorgaClientMount permisos al rol deEfsReadOnly IAM o de solo lectura.

{ "Version": "2012-10-17", "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ] } ] }
nota

Las políticas del sistema de archivos de Amazon EFS tienen un límite de 20 000 caracteres.

Para obtener más información sobre el uso de las políticas del sistema de archivos de EFS para controlar el acceso a los datos del sistema de archivos, consulteUso de IAM para controlar el acceso a los datos del sistema de archivos.

Especificar elementos de políticas: acciones, efectos y entidades principales

Para cada recurso de Amazon EFS (consulteOperaciones y recursos de Amazon EFS), el servicio define un conjunto de acciones y operaciones de la API (consulteAcciones yAcciones de EFS para clientes) para las que puede conceder permisos. Para el recurso del sistema de archivos Amazon EFS, las acciones de ejemplo son:CreateFileSystemDeleteFileSystem, yDescribeFileSystems. Para realizar una operación API pueden ser necesarios permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:

  • Recurso: en las políticas basadas en recursos (políticas del sistema de archivos), el recurso al que se adjunta la política es el recurso implícito. Para las basadas en identidad, utilice un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplican. Para obtener más información, consulte Operaciones y recursos de Amazon EFS.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del elemento Effect especificado, permiteelasticfilesystem:CreateFileSystem o deniega los permisos de usuario para realizar laCreateFileSystem operación Amazon EFS.

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM consulte Referencia de la política de IAM de de la Guía del usuario de IAM.

Para ver una tabla con todas las acciones de la API de Amazon EFS, consultePermisos de la API de Amazon EFS: referencia de acciones, recursos y condiciones.

Para ver una tabla con todas las acciones del cliente de Amazon EFS NFS, consulteUso de IAM para controlar el acceso a los datos del sistema de archivos.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Para obtener más información sobre cómo especificar condiciones en una política, consulte Elementos de la política de JSON de IAM: Condition en la Guía del usuario de IAM.

Existen claves de condición generales yAWS específicas de EFS que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles para las condiciones en la Guía del usuario de IAM. Para obtener una lista completa de las claves de condición específicas de EFS, consulte Claves de condición de EFS para clientes.

nota

La condiciónaws:SourceIpAWS -wide se puede usar para controlar qué hosts pueden usar acciones de EFS comoCreateFileSystemCreateMountTargetDeleteMountTarget,DescribeMountTargetSecurityGroups, oModifyMountTargetSecurityGroup acciones. Laaws:SourceIp condición se puede utilizar para controlar el acceso de NFS a los objetivos de montaje de EFS, pero no es el enfoque recomendado por motivos de seguridad. Para controlar el acceso a estos destinos, consulte Control del acceso a la red a los sistemas de archivos Amazon EFS para clientes NFS.