Trabajar con puntos de acceso de Amazon EFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajar con puntos de acceso de Amazon EFS

Amazon EFSPuntos de accesoLos puntos de entrada específicos de la aplicación en un sistema de archivos EFS que facilitan la administración del acceso de las aplicaciones a conjuntos de datos compartidos. Los puntos de acceso pueden imponer una identidad de usuario, incluidos los grupos POSIX del usuario, para todas las solicitudes del sistema de archivos que se realizan a través del punto de acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema de archivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sus subdirectorios.

Puede usarAWS Identity and Access ManagementPara exigir que las aplicaciones específicas utilicen un punto de acceso específico. Al combinar políticas de IAM con puntos de acceso, puede proporcionar fácilmente acceso seguro a conjuntos de datos específicos para sus aplicaciones.

Para obtener más información sobre cómo crear un punto de acceso, consulte Creación y eliminación de puntos de acceso.

Creación de un punto de acceso

Puede crear puntos de acceso para un sistema de archivos de Amazon EFS existente utilizando laAWS Management Console, elAWS Command Line Interface(AWS CLI) y la API EFS.

Para obtener instrucciones acerca de cómo crear un punto de acceso, consulte Creación y eliminación de puntos de acceso.

Montaje de un sistema de archivos mediante un punto de acceso

Utilice el ayudante de montaje EFS al montar un sistema de archivos mediante un punto de acceso. En el comando mount, incluya el ID del sistema de archivos, el ID del punto de acceso y la opción de montaje tls, como se muestra en el siguiente ejemplo.

$ mount -t efs -o tls,accesspoint=fsap-12345678 fs-12345678: /localmountpoint

Para obtener más información sobre el montaje de sistemas de archivos mediante un punto de acceso, consulte Montaje con puntos de acceso de EFS.

Aplicación de una identidad de usuario mediante un punto de acceso

Puede utilizar un punto de acceso para aplicar información de usuario y grupo para todas las solicitudes del sistema de archivos realizadas a través del punto de acceso. Para habilitar esta característica, debe especificar la identidad del sistema operativo que se aplicará al crear el punto de acceso.

Como parte de esto, proporciona lo siguiente:

  • Identificador: Identificador del usuario.

  • ID de grupo: el identificador de grupo POSIX numérico para el usuario.

  • Id. de grupo secundario: lista opcional de ID de grupo secundario.

Cuando la aplicación de usuario está habilitada, Amazon EFS reemplaza los ID de usuario y grupo del cliente NFS por la identidad configurada en el punto de acceso para todas las operaciones del sistema de archivos. El cumplimiento de los usuarios también hace lo siguiente:

  • El propietario y el grupo de los nuevos archivos y directorios se establecen en el ID de usuario y el ID de grupo del punto de acceso.

  • EFS tiene en cuenta el ID de usuario, el ID de grupo y los ID de grupo secundario del punto de acceso al evaluar los permisos del sistema de archivos. EFS ignora los ID del cliente NFS.

importante

La aplicación de una identidad de usuario está sujeta al permiso ClientRootAccess de IAM.

Por ejemplo, en algunos casos puede configurar el ID de usuario del punto de acceso, el ID de grupo o ambos para que sean raíz (es decir, establecer el UID, el GID o ambos en 0). En tales casos, debe conceder el permiso de IAM ClientRootAccess al cliente NFS.

Aplicación de un directorio raíz con un punto de acceso

Puede utilizar un punto de acceso para anular el directorio raíz de un sistema de archivos. Cuando se aplica un directorio raíz, el cliente NFS que utiliza el punto de acceso utiliza el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos.

Para habilitar esta entidad, defina el atributo Path del punto de acceso al crear un punto de acceso. El atributo Path es la ruta completa del directorio raíz del sistema de archivos para todas las solicitudes del sistema de archivos realizadas a través de este punto de acceso. La ruta de acceso completa no puede superar los 100 caracteres de longitud. Puede incluir hasta cuatro subdirectorios.

Cuando se especifica un directorio raíz en un punto de acceso, se convierte en el directorio raíz del sistema de archivos para el cliente NFS que monta el punto de acceso. Por ejemplo, supongamos que el directorio raíz de su punto de acceso sea /data. En este caso, el montaje fs-12345678:/ utilizando el punto de acceso tiene el mismo efecto que el montaje fs-12345678:/data sin usar el punto de acceso.

Al especificar un directorio raíz en el punto de acceso, asegúrese de que los permisos de directorio estén configurados para permitir que el usuario del punto de acceso monte correctamente el sistema de archivos. Concretamente, asegúrese de que el bit de ejecución esté configurado para el grupo o usuario del punto de acceso, o para todos los usuarios. Por ejemplo, si permiso del directorio tiene el valor 755, el propietario del directorio puede enumerar, crear y montar archivos, y el resto de los usuarios pueden enumerar y montar archivos.

Creación del directorio raíz para un punto de acceso

Si no existe una ruta al directorio raíz para un punto de acceso en el sistema de archivos, Amazon EFS crea automáticamente ese directorio raíz con propiedad y permisos configurables. Este enfoque permite aprovisionar el acceso al sistema de archivos para un usuario o aplicación específicos sin montar el sistema de archivos desde un host Linux. Para crear un directorio raíz, debe configurar la propiedad y el permiso del directorio raíz utilizando los siguientes atributos al crear un punto de acceso:

  • OwnerUid— El ID de usuario POSIX numérico que se va a utilizar como propietario del directorio raíz.

  • OwnerGiD— El ID de grupo POSIX numérico que se va a utilizar como grupo propietario del directorio raíz.

  • Permisos: el modo Unix del directorio. Una configuración común es 755. Asegúrese de que el bit de ejecución esté configurado para el usuario del punto de acceso para que pueda montar archivos. Esta configuración da al propietario del directorio permiso para introducir, enumerar y escribir nuevos archivos en el directorio. Da permiso a todos los demás usuarios para introducir y enumerar archivos. Para obtener más información sobre cómo trabajar con los modos de archivo y directorio Unix, consulte Trabajar con usuarios, grupos y permisos en el nivel de Network File System (NFS).

Amazon EFS crea directorios raíz solo si ha proporcionado los permisos OwnUid, OwnGID para el directorio. Si no proporciona dicha información, Amazon EFS no creará el directorio raíz. Si el directorio raíz no existe, los intentos de montaje utilizando el punto de acceso fallarán.

Cuando monta un sistema de archivos con un punto de acceso, el directorio raíz del punto de acceso se crea si el directorio no existe aún. Si el directorio raíz configurado en el punto de acceso ya existe antes de la hora de montaje, el punto de acceso no sobrescribirá los permisos existentes. Si elimina el directorio raíz, EFS lo vuelve a crear la próxima vez que se monte el sistema de archivos utilizando el punto de acceso.

Modelo de seguridad para directorios raíz de punto de acceso

Cuando una anulación de directorio raíz está en vigor, Amazon EFS se comporta como un servidor Linux NFS con lano_subtree_checkhabilitada.

En el protocolo NFS, los servidores generan identificadores de archivo que los clientes utilizan como referencias únicas al acceder a los archivos. EFS genera de forma segura identificadores de archivos impredecibles y específicos de un sistema de archivos EFS. Cuando se ha establecido una sustitución de directorio raíz, EFS no revela los identificadores de archivo para los archivos fuera del directorio raíz especificado. Sin embargo, en algunos casos, un usuario puede obtener un identificador de archivo para un archivo situado fuera de su punto de acceso mediante un mecanismo fuera de banda. Por ejemplo, podrían hacerlo si tienen acceso a un segundo punto de acceso. Si lo hacen, pueden llevar a cabo operaciones de lectura y escritura en el archivo.

Los permisos de acceso y propiedad de archivos siempre se aplican, para acceder a archivos dentro y fuera del directorio raíz del punto de acceso de un usuario.

Uso de puntos de acceso en políticas de IAM

Puede utilizar una política de IAM para exigir que un cliente NFS específico, identificado por su rol de IAM, solo pueda acceder a un punto de acceso específico. Para ello, utilice la clave de condición de IAM elasticfilesystem:AccessPointArn. AccessPointArn es el nombre de recurso de Amazon (ARN) del punto de acceso con el que está montado el sistema de archivos.

A continuación se muestra un ejemplo de una política del sistema de archivos que permite que el rol de IAM app1 tenga acceso al sistema de archivos mediante el punto de acceso fsap-01234567. La política también permite a app2 utilizar el sistema de archivos utilizando el punto de acceso fsap-89abcdef.

{ "Version": "2012-10-17", "Id": "MyFileSystemPolicy", "Statement": [ { "Sid": "App1Access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567" } } }, { "Sid": "App2Access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef" } } } ] }