Tutorial: Habilite la eliminación raíz mediante la autorización de IAM para clientes NFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Habilite la eliminación raíz mediante la autorización de IAM para clientes NFS

En este tutorial, configurará Amazon EFS para impedir el acceso root a su sistema de archivos de Amazon EFS para todos losAWS principales, excepto para una única estación de trabajo de administración. Para ello, configure la autorizaciónAWS Identity and Access Management (IAM) para los clientes del Sistema de archivos de red (NFS). Para obtener más información acerca de la autorización de IAM para clientes NFS en EFS, consulte Uso de IAM para controlar el acceso a los datos del sistema de archivos.

Para ello, es necesario configurar dos políticas de permisos de IAM, de la siguiente manera:

  • Cree una política de sistema de archivos EFS que permita explícitamente el acceso de lectura y escritura al sistema de archivos y deniegue implícitamente el acceso del nodo raíz.

  • Asigne una identidad de IAM a la estación de trabajo de administración de Amazon EC2 que requiera acceso root al sistema de archivos mediante un perfil de instancia de Amazon EC2. Para obtener más información sobre los perfiles de instancias de Amazon EC2, consulte Uso de perfiles de instancia en la Guía delAWS Identity and Access Management usuario.

  • Asigne la política administrada de AWS AmazonElasticFileSystemClientFullAccess al rol de IAM de la estación de trabajo de administración. Para obtener más información sobre las políticasAWS administradas para EFS, consulteAdministración de identidades y acceso Amazon Elastic File System.

Para habilitar la agrupación de nodo raíz mediante la autorización de IAM para clientes NFS, utilice los procedimientos siguientes.

Para impedir el acceso root al sistema de archivos

  1. Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/.

  2. Elija Sistemas de archivos.

  3. En la página File systems (Sistemas de archivo), elija el sistema de archivos donde desea habilitar la agrupación raíz.

  4. En la página de detalles del sistema de archivos, elija Política del sistema de archivos y, a continuación, elija Editar. Aparece la página File system policy (Política del sistema de archivos).

    Página de políticas del sistema de archivos para editar y guardar la política del sistema de archivos.

  5. Seleccione Impedir el acceso root de forma predeterminada* en Opciones de política. El objeto JSON de la política aparece en el editor de políticas.

  6. Elija Save (Guardar) para guardar la política del sistema de archivos.

Los clientes que no son anónimos pueden obtener acceso raíz al sistema de archivos a través de una política basada en la identidad. Al adjuntar la políticaAmazonElasticFileSystemClientFullAccess gestionada a la función de la estación de trabajo, IAM concede el acceso raíz a la estación de trabajo en función de su política de identidad.

Para habilitar el acceso raíz desde la estación de trabajo de administración

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. crear un rol para Amazon EC2 llamadoEFS-client-root-access. IAM crea un perfil de instancia con el mismo nombre que el rol de EC2 que creó.

  3. Asigne la política administrada de AWS AmazonElasticFileSystemClientFullAccess a la función EC2 que ha creado. El contenido de esta política se muestra a continuación.

    {
    "Version”: "2012-10-17",
    "Statement": [
     {
         "Effect": "Allow",
         "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientRootAccess",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:DescribeMountTargets"
         ],
         "Resource": "*"
     }
 ]
}

  4. Asocie el perfil de instancia a la instancia EC2 que está utilizando como estación de trabajo de administración, como se describe a continuación. Para obtener más información, consulte Adjuntar un rol de IAM a una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

    1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

    2. En el panel de navegación, seleccione Instances (Instancia[s]).

    3. Seleccione la instancia. Para Actions (Acciones), elija Instance Settings (Configuración de instancia) y, a continuación, elija Attach/Replace IAM role (Asociar/sustituir rol de IAM).

    4. Seleccione el rol de IAM que creó en el primer paso, EFS-client-root-access, y elija Apply (Aplicar).

  5. Instale el ayudante de montaje EFS en la estación de trabajo de administración. Para obtener más información sobre el asistente de montaje de EFS y el amazon-efs-utils paquete, consulteInstalación de las herramientas de Amazon EFS.

  6. Monte el sistema de archivos EFS en la estación de trabajo de administración mediante el siguiente comando con la opción de montaje iam.

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Puede configurar la instancia Amazon EC2 para que monte automáticamente el sistema de archivos con la autorización de IAM. Para obtener más información sobre cómo montar un sistema de archivos de EFS con autorización de IAM, consulteMontaje con autorización de IAM.