Creación de un punto de acceso Montaje con puntos de acceso Aplicación de una identidad de usuario Aplicación de un directorio raíz Uso de puntos de acceso en políticas de IAM

Trabajo con puntos de acceso de Amazon EFS

Los puntos de accesode Amazon EFS son puntos de entrada específicos que la aplicación utiliza para acceder a un sistema de archivos de EFS y que facilitan la administración del acceso de las aplicaciones a conjuntos de datos compartidos. Los puntos de acceso pueden imponer una identidad de usuario, incluidos los grupos POSIX del usuario, para todas las solicitudes del sistema de archivos que se realizan a través del punto de acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema de archivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sus subdirectorios.

Puede usar políticas AWS Identity and Access Management (de IAM) para imponer que aplicaciones específicas usen un punto de acceso específico. Al combinar políticas de IAM con puntos de acceso, puede proporcionar fácilmente acceso seguro a conjuntos de datos específicos para sus aplicaciones.

nota

Debe crear al menos un destino de montaje en el sistema de archivos de EFS para utilizar los puntos de acceso.

Para obtener más información sobre cómo crear un punto de acceso, consulte Crear puntos de acceso.

Temas

Creación de un punto de acceso
Montaje de un sistema de archivos mediante un punto de acceso
Aplicación de una identidad de usuario mediante un punto de acceso
Aplicación de un directorio raíz con un punto de acceso
Uso de puntos de acceso en políticas de IAM

Creación de un punto de acceso

Puede crear puntos de acceso para un sistema de archivos Amazon EFS existente mediante la AWS Management Console API, AWS Command Line Interface (AWS CLI) y EFS. Un sistema de archivos puede tener un máximo de 1000 puntos de acceso. No puede modificar un punto de acceso una vez creado.

Para conocer step-by-step los procedimientos para crear un punto de acceso, consulteCrear puntos de acceso.

Montaje de un sistema de archivos mediante un punto de acceso

Utilice el ayudante de montaje EFS al montar un sistema de archivos mediante un punto de acceso. En el comando mount, incluya el ID del sistema de archivos, el ID del punto de acceso y la opción de montaje tls, como se muestra en el siguiente ejemplo.


$ mount -t efs -o tls,iam,accesspoint=fsap-abcdef0123456789a fs-abc0123def456789a: /localmountpoint

Para obtener más información sobre el montaje de sistemas de archivos mediante un punto de acceso, consulte Montaje con puntos de acceso de EFS.

Aplicación de una identidad de usuario mediante un punto de acceso

Puede utilizar un punto de acceso para aplicar información de usuario y grupo para todas las solicitudes del sistema de archivos realizadas a través del punto de acceso. Para habilitar esta característica, debe especificar la identidad del sistema operativo que se aplicará al crear el punto de acceso.

Como parte de esto, proporciona lo siguiente:

ID de usuario: el ID de usuario POSIX numérico para el usuario.
ID de grupo: el ID de grupo POSIX numérico para el usuario.
ID de grupos secundarios: una lista opcional de identificadores de grupos secundarios.

Cuando la aplicación de usuario está habilitada, Amazon EFS reemplaza los ID de usuario y grupo del cliente NFS por la identidad configurada en el punto de acceso para todas las operaciones del sistema de archivos. El cumplimiento de los usuarios también hace lo siguiente:

El propietario y el grupo de los nuevos archivos y directorios se establecen en el ID de usuario y el ID de grupo del punto de acceso.
EFS tiene en cuenta el ID de usuario, el ID de grupo y los ID de grupo secundario del punto de acceso al evaluar los permisos del sistema de archivos. EFS ignora los ID del cliente NFS.

importante

La aplicación de una identidad de usuario está sujeta al permiso ClientRootAccess de IAM.

Por ejemplo, en algunos casos puede configurar el ID de usuario del punto de acceso, el ID de grupo o ambos para que sean raíz (es decir, establecer el UID, el GID o ambos en 0). En tales casos, debe conceder el permiso de IAM ClientRootAccess al cliente NFS.

Aplicación de un directorio raíz con un punto de acceso

Puede utilizar un punto de acceso para anular el directorio raíz de un sistema de archivos. Cuando se aplica un directorio raíz, el cliente NFS que utiliza el punto de acceso utiliza el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos.

Para habilitar esta entidad, defina el atributo Path del punto de acceso al crear un punto de acceso. El atributo Path es la ruta completa del directorio raíz del sistema de archivos para todas las solicitudes del sistema de archivos realizadas a través de este punto de acceso. La ruta de acceso completa no puede superar los 100 caracteres de longitud. Puede incluir hasta cuatro subdirectorios.

Cuando se especifica un directorio raíz en un punto de acceso, se convierte en el directorio raíz del sistema de archivos para el cliente NFS que monta el punto de acceso. Por ejemplo, supongamos que el directorio raíz de su punto de acceso sea /data. En este caso, el montaje fs-12345678:/ utilizando el punto de acceso tiene el mismo efecto que el montaje fs-12345678:/data sin usar el punto de acceso.

Al especificar un directorio raíz en el punto de acceso, asegúrese de que los permisos de directorio estén configurados para permitir que el usuario del punto de acceso monte correctamente el sistema de archivos. Concretamente, asegúrese de que el bit de ejecución esté configurado para el grupo o usuario del punto de acceso, o para todos los usuarios. Por ejemplo, si permiso del directorio tiene el valor 755, el propietario del directorio puede enumerar, crear y montar archivos, y el resto de los usuarios pueden enumerar y montar archivos.

Creación del directorio raíz para un punto de acceso

Si no existe una ruta al directorio raíz para un punto de acceso en el sistema de archivos, Amazon EFS crea automáticamente ese directorio raíz con la propiedad y los permisos especificados. Amazon EFS no creará el directorio raíz si no especifica la propiedad y los permisos del directorio en el momento de la creación. Este enfoque permite aprovisionar el acceso al sistema de archivos para un usuario o aplicación específicos sin montar el sistema de archivos desde un host Linux. Para crear un directorio raíz, puede configurar la propiedad y el permiso del directorio raíz utilizando los siguientes atributos al crear un punto de acceso:

OwnerUid: el ID de usuario POSIX numérico que se utilizará como propietario del directorio raíz.
OwnerGiD: el ID de grupo POSIX numérico que se utilizará como propietario del grupo del directorio raíz.
Permisos: el modo Unix del directorio. Una configuración común es 755. Asegúrese de que el bit de ejecución esté configurado para el usuario del punto de acceso para que pueda montar archivos. Esta configuración da al propietario del directorio permiso para introducir, enumerar y escribir nuevos archivos en el directorio. Da permiso a todos los demás usuarios para introducir y enumerar archivos. Para obtener más información sobre cómo trabajar con los modos de archivo y directorio Unix, consulte Trabajar con usuarios, grupos y permisos a nivel del sistema de archivos de red (NFS).

Amazon EFS crea un directorio raíz de puntos de acceso solo si se especifican el OwnUid OwnGID y los permisos para el directorio. Si no proporciona dicha información, Amazon EFS no creará el directorio raíz. Si el directorio raíz no existe, los intentos de montaje utilizando el punto de acceso fallarán.

Al montar un sistema de archivos con un punto de acceso, se crea el directorio raíz del punto de acceso si el directorio aún no existe, siempre que el directorio raíz OwnerUid y los permisos se hayan especificado al crear el punto de acceso. Si el directorio raíz del punto de acceso ya existe antes de la hora de montaje, el punto de acceso no sobrescribirá los permisos existentes. Si elimina el directorio raíz, EFS lo vuelve a crear la próxima vez que se monte el sistema de archivos utilizando el punto de acceso.

nota

Si no especifica la propiedad y los permisos de un directorio raíz de punto de acceso, Amazon EFS no creará el directorio raíz. Todos los intentos de montaje del punto de acceso fallarán.

Modelo de seguridad para directorios raíz de punto de acceso

Cuando una anulación de directorio raíz está en vigor, Amazon EFS se comporta como un servidor Linux NFS con la opción no_subtree_check habilitada.

En el protocolo NFS, los servidores generan identificadores de archivo que los clientes utilizan como referencias únicas al acceder a los archivos. EFS genera de forma segura identificadores de archivos impredecibles y específicos de un sistema de archivos EFS. Cuando se ha establecido una sustitución de directorio raíz, EFS no revela los identificadores de archivo para los archivos fuera del directorio raíz especificado. Sin embargo, en algunos casos, un usuario puede obtener un identificador de archivo para un archivo fuera de su punto de acceso mediante un out-of-band mecanismo. Por ejemplo, podrían hacerlo si tienen acceso a un segundo punto de acceso. Si lo hacen, pueden llevar a cabo operaciones de lectura y escritura en el archivo.

Los permisos de acceso y propiedad de archivos siempre se aplican, para acceder a archivos dentro y fuera del directorio raíz del punto de acceso de un usuario.

Uso de puntos de acceso en políticas de IAM

Puede utilizar una política de IAM para exigir que un cliente NFS específico, identificado por su rol de IAM, solo pueda acceder a un punto de acceso específico. Para ello, utilice la clave de condición de IAM elasticfilesystem:AccessPointArn. AccessPointArn es el nombre de recurso de Amazon (ARN) del punto de acceso con el que está montado el sistema de archivos.

A continuación se muestra un ejemplo de una política del sistema de archivos que permite que el rol de IAM app1 tenga acceso al sistema de archivos mediante el punto de acceso fsap-01234567. La política también permite a app2 utilizar el sistema de archivos utilizando el punto de acceso fsap-89abcdef.


{
    "Version": "2012-10-17",
    "Id": "MyFileSystemPolicy",
    "Statement": [
        {
            "Sid": "App1Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567"
                }
            }
        },
        {
            "Sid": "App2Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef"
                }
            }
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Permisos de archivos y directorios

Bloqueo del acceso público a los sistemas de archivos de Amazon EFS