Tutorial: Habilitar la agrupación de nodo raíz mediante la autorización de IAM para clientes NFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Habilitar la agrupación de nodo raíz mediante la autorización de IAM para clientes NFS

En este tutorial, puede configurar Amazon EFS para impedir el acceso de root a su sistema de archivos de Amazon EFS para todos losAWSa excepción de una sola estación de trabajo de administración. Para ello, configureAWS Identity and Access Management(IAM) para clientes de Network File System (NFS). Para obtener más información acerca de la autorización de IAM para clientes NFS en EFS, consulte Uso de IAM para controlar el acceso a los datos del sistema de archivos.

Para ello, es necesario configurar dos políticas de permisos de IAM, como se indica a continuación.

  • Cree una política de sistema de archivos EFS que permita explícitamente el acceso de lectura y escritura al sistema de archivos y deniegue implícitamente el acceso del nodo raíz.

  • Asigne una identidad de IAM a la estación de trabajo de administración de Amazon EC2 que requiere acceso raíz al sistema de archivos mediante un perfil de instancia de Amazon EC2. Para obtener más información sobre los perfiles de instancia de Amazon EC2, consulteUso de perfiles de instanciaen laAWS Identity and Access ManagementGuía del usuario.

  • Asigne la política administrada de AWS AmazonElasticFileSystemClientFullAccess al rol de IAM de la estación de trabajo de administración. Para obtener más información acerca deAWSPara EFS, consulteAWSPolíticas administradas (predefinidas) para Amazon EFS.

Para habilitar la agrupación de nodo raíz mediante la autorización de IAM para clientes NFS, utilice los procedimientos siguientes.

Para evitar el acceso raíz al sistema de archivos

  1. Abra la consola Amazon Elastic File System enhttps://console.aws.amazon.com/efs/.

  2. SeleccionarSistemas de archivos.

  3. En la página File systems (Sistemas de archivo), elija el sistema de archivos donde desea habilitar la agrupación raíz.

  4. En la página de detalles del sistema de archivos, elijaPolítica de file systemHaga clic en y luego enEditar. Aparece la página File system policy (Política del sistema de archivos).

    
          Página de directiva del sistema de archivos para editar y guardar la directiva del sistema de archivos.
  5. SeleccionarImpedir el acceso root de forma predeterminada*UNDEROpciones de política. El objeto JSON de directiva aparece en el cuadro de diálogoEditor de directivas.

  6. Elija Save (Guardar) para guardar la política del sistema de archivos.

Los clientes que no son anónimos pueden obtener acceso raíz al sistema de archivos a través de una política basada en la identidad. Al adjuntar elAmazonElasticFileSystemClientFullAccessA la función de la estación de trabajo, IAM concede acceso raíz a la estación de trabajo en función de su política de identidad.

Para habilitar el acceso raíz desde la estación de trabajo de administración

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Cree un rol para Amazon EC2 llamadoEFS-client-root-access. IAM crea un perfil de instancia con el mismo nombre que el rol de EC2 que ha creado.

  3. Asigne la política administrada de AWS AmazonElasticFileSystemClientFullAccess a la función EC2 que ha creado. El contenido de esta política se muestra a continuación.

    { “Version”: “2012-10-17”, “Statement”: [ { “Resource”: “*”, “Effect”: “Allow”, “Action”: “elasticfilesystem:Client*” } ], "Condition": {} }
  4. Asocie el perfil de instancia a la instancia EC2 que está utilizando como estación de trabajo de administración, como se describe a continuación. Para obtener más información, consulte Adjuntar un rol de IAM a una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

    1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

    2. En el panel de navegación, seleccione Instances (Instancias).

    3. Seleccione la instancia. Para Actions (Acciones), elija Instance Settings (Configuración de instancia) y, a continuación, elija Attach/Replace IAM role (Asociar/sustituir rol de IAM).

    4. Seleccione el rol de IAM que creó en el primer paso, EFS-client-root-access, y elija Apply (Aplicar).

  5. Instale el ayudante de montaje EFS en la estación de trabajo de administración. Para obtener más información sobre el ayudante de montaje EFS y el paquete amazon-efs-utils, consulte Uso de las herramientas amazon-efs-utils.

  6. Monte el sistema de archivos EFS en la estación de trabajo de administración mediante el siguiente comando con la opción de montaje iam.

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Puede configurar la instancia de Amazon EC2 para que monte automáticamente el sistema de archivos con autorización de IAM. Para obtener más información sobre cómo montar un sistema de archivos EFS con autorización de IAM, consulteMontaje con autorización de IAM.