Identity and Access Management para Amazon EFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identity and Access Management para Amazon EFS

El acceso a Amazon EFS requiere credenciales queAWSPuede utilizar para autenticar las solicitudes. Estas credenciales deben tener permisos para obtener acceso aAWSComo un sistema de archivos de Amazon EFS o una instancia de Amazon EC2. En las secciones siguientes se incluye información detallada sobre cómo utilizarQué es IAMy Amazon EFS para ayudar a proteger sus recursos controlando quién puede obtener acceso a ellos.

Authentication

Puede obtener acceso a AWS con los siguientes tipos de identidades:

  • Cuenta de AWS Usuario raíz— Cuando se inscribe enAWS, proporciona una dirección de correo electrónico y la contraseña asociada a suAWSaccount. Este es su Cuenta de AWS Usuario raíz. cuyas credenciales permiten el acceso completo a todos sus recursos de AWS.

    importante

    Por razones de seguridad, recomendamos que utilice el usuario raíz solo para crear unAdministrador de, que es unaUsuario de IAMcon permisos completos a su Cuenta de AWS . Puede utilizar luego este administrador para crear otros usuarios y roles de IAM con permisos limitados. Para obtener más información, consulte Prácticas recomendadas de IAM y Creación de un grupo y usuario administrador en la Guía del usuario de IAM.

  • Usuario de IAM— UnUsuario de IAMes simplemente una identidad dentro de su Cuenta de AWS Con permisos personalizados específicos (por ejemplo, permisos para crear un sistema de archivos en Amazon EFS). Puede utilizar un nombre de usuario y contraseña de IAM para iniciar sesión y protegerAWScomo las páginas webAWS Management Console,AWSForos de debate de, o elAWS SupportCenter.

     

    Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación, ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y las herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza las herramientas de AWS, debe firmar usted mismo la solicitud. Amazon EFS admiteSignature Version 4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de la autenticación de solicitudes, consulte.Proceso de firma Signature Version 4en laAWSReferencia general de.

     

  • Rol de IAM— UnRol de IAMes otra identidad de IAM que puede crear en su cuenta y que tiene permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una persona determinada. Un rol de IAM le permite obtener claves de acceso temporal que se pueden utilizar para tener acceso aAWSservicios y recursos de. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

     

    • Acceso de usuarios federadosEn lugar de crear un usuario de IAM, puede usar identidades de usuario preexistentes deAWS Directory ServiceEl directorio de usuarios de la compañía o un proveedor de identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

       

    • Administración entre cuentas: puede utilizar un rol de IAM de su cuenta para conceder otro Cuenta de AWS para administrar los recursos de Amazon EFS de su cuenta. Para ver un ejemplo, consulte .Tutorial: Delegar el acceso entre Cuenta de AWS s Uso de roles de IAMen laIAM User Guide. No puede montar sistemas de archivos de Amazon EFS desde otras VPC o cuentas. Para obtener más información, consulte Gestión de la accesibilidad de red del sistema de.

       

    • AWSAcceso a servicios de :: puede utilizar un rol de IAM de su cuenta para conceder unaAWSpara obtener acceso a los recursos de su cuenta. Por ejemplo, puede crear una función que permita a Amazon Redshift obtener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulteCreación de un rol para delegar permisos a unAWSService (Servicio)en laIAM User Guide.

       

    • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM para administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizanAWSSolicitudes de la API. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene la función y permite a los programas que se encuentran en ejecución en la instancia EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de roles para aplicaciones en Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Puede tener credenciales válidas para autenticar las solicitudes, pero a menos que tenga permisos, no podrá crear ni obtener acceso a los recursos de Amazon Elastic File System. Por ejemplo, debe tener permisos para crear un sistema de archivos de Amazon EFS.

En las secciones siguientes se describe cómo administrar los permisos de Amazon EFS. Le recomendamos que lea primero la información general.