Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Se utiliza IAM para controlar el acceso a los datos del sistema de archivos
Puede utilizar políticas de IAM identidad y políticas de recursos para controlar el acceso de los clientes a EFS los recursos de Amazon de forma escalable y optimizada para los entornos de nube. Con IAM él, puede permitir a los clientes realizar acciones específicas en un sistema de archivos, como el acceso de solo lectura, de escritura y el acceso root. Un permiso de «permiso» para una acción, ya sea en una política de IAM identidad o en una política de recursos del sistema de archivos, permite el acceso a esa acción. No es necesario conceder el permiso tanto en una política de identidad como en una política de recursos.
NFSlos clientes pueden identificarse mediante un IAM rol al conectarse a un sistema de EFS archivos. Cuando un cliente se conecta a un sistema de archivos, Amazon EFS evalúa la política de IAM recursos del sistema de archivos, que se denomina política del sistema de archivos, junto con cualquier IAM política basada en la identidad para determinar los permisos de acceso al sistema de archivos adecuados que debe conceder.
Cuando se utiliza la IAM autorización para NFS los clientes, se registran las conexiones de los clientes y las decisiones de IAM autorización. AWS CloudTrail Para obtener más información sobre cómo registrar EFS API las llamadas de Amazon CloudTrail, consultaRegistrar EFS API llamadas de Amazon con AWS CloudTrail.
importante
Debe utilizar el asistente de EFS montaje para montar sus sistemas de EFS archivos de Amazon para poder utilizar la IAM autorización para controlar el acceso de los clientes. Para obtener más información, consulte Montaje con autorización IAM.
Política de sistema EFS de archivos predeterminada
La política del sistema de EFS archivos predeterminada no se usa IAM para autenticar y otorga acceso total a cualquier cliente anónimo que pueda conectarse al sistema de archivos mediante un destino de montaje. La política predeterminada se aplica siempre que no se aplique una política de sistema de archivos configurada por el usuario, incluso al crear el sistema de archivos. Siempre que esté en vigor la política del sistema de archivos predeterminada, una DescribeFileSystemPolicy API operación devolverá una PolicyNotFound respuesta.
EFSacciones para los clientes
Puede especificar las siguientes acciones para clientes que acceden a un sistema de archivos mediante una política de sistema de archivos.
| Acción | Descripción |
|---|---|
|
|
Proporciona acceso de solo lectura a un sistema de archivos. |
|
|
Proporciona permisos de escritura en un sistema de archivos. |
|
|
Proporciona la capacidad de utilizar el usuario raíz al acceder a un sistema de archivos. |
EFSclaves de condición para clientes
Cómo expresar condiciones, se usan claves de condición predefinidas. Amazon EFS tiene las siguientes claves de condición predefinidas para NFS los clientes. No se aplica ninguna otra clave de condición cuando se utilizan IAM controles para proteger el acceso a los sistemas de EFS archivos.
| EFSClave de condición | Descripción | Operador |
|---|---|---|
aws:SecureTransport |
Use esta clave para exigir que los clientes la usen TLS cuando se conecten a un sistema de EFS archivos. |
Booleano |
aws:SourceIp |
Dirección IP privada del cliente que accede a un sistema de EFS archivos. | Cadena |
elasticfilesystem:AccessPointArn |
ARNdel punto de EFS acceso al que se está conectando el cliente. | Cadena |
elasticfilesystem:AccessedViaMountTarget |
Utilice esta clave para impedir el acceso a un sistema de EFS archivos por parte de los clientes que no utilizan destinos de montaje del sistema de archivos. | Booleano |
Ejemplos de política del sistema de archivos
Para ver ejemplos de las políticas del sistema de EFS archivos de Amazon, consulteEjemplos de políticas basadas en recursos para Amazon EFSAmazon EFS.
