Utilizar IAM para controlar el acceso a los datos del sistema de archivos - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Utilizar IAM para controlar el acceso a los datos del sistema de archivos

Puede utilizar tanto las políticas de identidad de IAM como las políticas de recursos para controlar el acceso de los clientes a los recursos de Amazon EFS de forma escalable y optimizada para los entornos de nube. Con IAM, puede permitir que los clientes realicen acciones específicas en un sistema de archivos, como el acceso de solo lectura, escritura y root. Un permiso de «permitir» una acción en una política de identidad de IAM o en una política de recursos del sistema de archivos permite el acceso a esa acción. No es necesario conceder el permiso tanto en una política de identidad como en una política de recursos.

Los clientes de NFS pueden identificarse mediante un rol de IAM al conectarse a un sistema de archivos EFS. Cuando un cliente se conecta a un sistema de archivos, Amazon EFS evalúa la política de recursos de IAM del sistema de archivos, que se denomina política del sistema de archivos, junto con cualquier política de IAM basada en la identidad para determinar los permisos de acceso al sistema de archivos adecuados que se deben conceder.

Cuando se utiliza la autorización de IAM para los clientes de NFS, se registran las conexiones de los clientes y las decisiones de autorización de IAMAWS CloudTrail. Para obtener más información sobre cómo registrar las llamadas a la API de Amazon EFS con CloudTrail, consulteRegistro de llamadas a la API de Amazon EFSAWS CloudTrail.

importante

Debe utilizar el asistente de montaje de EFS para montar sus sistemas de archivos de Amazon EFS a fin de utilizar la autorización de IAM para controlar el acceso de los clientes. Para obtener más información, consulte Montaje con autorización de IAM.

Política del sistema de archivos de EFS

La política del sistema de archivos EFS predeterminada no utiliza IAM para autenticar y concede acceso completo a cualquier cliente anónimo que pueda conectarse al sistema de archivos mediante un destino de montaje. La política predeterminada se aplica siempre que una política del sistema de archivos configurada por el usuario no esté en vigor, incluida la creación del sistema de archivos. Siempre que la política del sistema de archivos predeterminada esté en vigor, una operación de API DescribeFileSystemPolicy devuelve una respuesta PolicyNotFound.

Acciones de EFS para clientes

Puede especificar las siguientes acciones para los clientes que acceden a un sistema de archivos mediante una política del sistema de archivos.

Acción Descripción

elasticfilesystem:ClientMount

Proporciona acceso de solo lectura a un sistema de archivos.

elasticfilesystem:ClientWrite

Proporciona permisos de escritura en un sistema de archivos.

elasticfilesystem:ClientRootAccess

Permite el uso del usuario root al acceder a un sistema de archivos.

Claves de condición de EFS para

Para expresar condiciones, se usan claves de condición predefinidas. Amazon EFS tiene las siguientes claves de condición predefinidas para los clientes de NFS.

Clave de condición de EFS Descripción "."
aws:SecureTransport

Utilice esta clave para exigir a los clientes que usen TLS al conectarse a un sistema de archivos EFS.

Booleano

elasticfilesystem:AccessPointArn ARN del punto de acceso EFS al que se conecta el cliente.
elasticfilesystem:AccessedViaMountTarget Utilice esta clave para impedir el acceso a un sistema de archivos EFS a los clientes que no utilizan destinos de montaje del sistema de archivos.

Booleano

Ejemplos de políticas del sistema de archivos

En esta sección, encontrará ejemplos de políticas del sistema de archivos que conceden o deniegan permisos para diversas acciones de Amazon EFS. Las políticas del sistema de archivos de Amazon EFS tienen un límite de 20.000 caracteres Para obtener información sobre los elementos de una política basada en recursos, consulte Especificar elementos de políticas: acciones, efectos y entidades principales.

importante

Si concede permiso a un usuario o rol de IAM individual en una política del sistema de archivos, no elimine ni vuelva a crear ese usuario o rol mientras la política esté en vigor en el sistema de archivos. Si esto sucede, ese usuario o rol se bloquea efectivamente en el sistema de archivos y no podrá acceder a él. Para obtener más información, consulte Especificación de una entidad principal en la Guía del usuario de IAM.

Para obtener información acerca de cómo crear una política del sistema de archivos, consulteCreación de políticas del sistema de archivos.

Ejemplo 1: Conceder acceso de lectura y escritura a unAWS rol específico

Esta política de sistema de archivos EFS de ejemplo tiene las características siguientes:

  • El efecto es Allow.

  • El principal se establece en Testing_Role enCuenta de AWS.

  • La acción se establece enClientMount (leer) yClientWrite.

  • La condición para conceder permisos se establece enAccessedViaMountTarget.

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientRootAccess", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd" } ] }

Ejemplo 2: Conceder acceso de solo lectura

La siguiente política del sistema de archivos solo concedeClientMount permisos o de solo lectura para el rol de EfsReadOnly IAM.

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

Para obtener información sobre cómo configurar políticas de sistemas de archivos adicionales, incluida la denegación del acceso root a todos los directores de IAM, excepto a una estación de trabajo de administración específica, consulteGuía de: Habilitar la agrupación de nodo raíz mediante la autorización de IAM para clientes NFS.

Ejemplo 3: Otorgue acceso a un punto de acceso EFS

Utilice una política de acceso de EFS para proporcionar a un cliente de NFS una vista específica de la aplicación de los conjuntos de datos basados en archivos compartidos en un sistema de archivos EFS. Conceder permisos de punto de acceso en el sistema de archivos mediante una política de sistema de archivos. En este ejemplo de política de archivos se utiliza un elemento de condición para conceder un punto de acceso específico que se identifica por el acceso completo de su ARN al sistema de archivos. Para obtener más información acerca del uso de los puntos de acceso EFS, consulteTrabajar con puntos de acceso de Amazon EFS

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }