Uso de IAM para controlar el acceso a los datos del sistema de archivos - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de IAM para controlar el acceso a los datos del sistema de archivos

Puede usar políticas de identidad de IAM y políticas de recursos para controlar el acceso de los clientes de NFS a los recursos de Amazon EFS de una manera escalable y optimizada para entornos de nube. Mediante IAM, puede permitir que los clientes realicen acciones específicas en un sistema de archivos, incluido el acceso de solo lectura, escritura y raíz. Un permiso de “permitir” para una acción, ya sea en una política de identidad de IAM o en una política de recursos del sistema de archivos, permite el acceso a esa acción. No es necesario conceder el permiso tanto en una política de identidad como en una política de recursos.

Los clientes de NFS pueden identificarse mediante un rol de IAM al conectarse a un sistema de archivos de EFS. Cuando un cliente se conecta a un sistema de archivos, Amazon EFS evalúa la política de recursos de IAM del sistema de archivos, conocida como política del sistema de archivos, junto con las políticas basadas en la identidad de IAM para determinar los permisos de acceso del sistema de archivos que se deben conceder.

Cuando utiliza la autorización de IAM para clientes de NFS, las conexiones de cliente y las decisiones de autorización de IAM se registran en AWS CloudTrail. Para obtener más información acerca de cómo registrar llamadas a la API de Amazon EFS con CloudTrail, consulte Registro de llamadas a la API de Amazon EFS con AWS CloudTrail.

importante

Debe utilizar el ayudante de montaje EFS para montar sus sistemas de archivos de Amazon EFS con el fin de utilizar la autorización de IAM para controlar el acceso de los clientes. Para obtener más información, consulte Montaje con autorización de IAM.

Política predeterminada del sistema de archivos de EFS

La política predeterminada del sistema de archivos de EFS no utiliza IAM para autenticar y otorga acceso completo a cualquier cliente anónimo que pueda conectarse al sistema de archivos mediante un destino de montaje. La política predeterminada se aplica siempre que no se aplique una política de sistema de archivos configurada por el usuario, incluso al crear el sistema de archivos. Siempre que la política del sistema de archivos predeterminada esté en vigor, una operación de API DescribeFileSystemPolicy devuelve una respuesta PolicyNotFound.

Acciones de EFS para clientes

Puede especificar las siguientes acciones para clientes que acceden a un sistema de archivos mediante una política de sistema de archivos.

Acción de Descripción

elasticfilesystem:ClientMount

Proporciona acceso de solo lectura a un sistema de archivos.

elasticfilesystem:ClientWrite

Proporciona permisos de escritura en un sistema de archivos.

elasticfilesystem:ClientRootAccess

Proporciona la capacidad de utilizar el usuario raíz al acceder a un sistema de archivos.

Claves de condición de EFS para clientes

Para expresar condiciones, se usan claves de condición predefinidas. Amazon EFS tiene las siguientes claves de condición predefinidas para los clientes de NFS. No se aplica ninguna otra clave de condición cuando se utilizan los controles de IAM para proteger el acceso a los sistemas de archivos EFS.

Clave de condición de EFS Descripción Operador
aws:SecureTransport

Utilice esta clave para exigir a los clientes que utilicen TLS al conectarse a un sistema de archivos de EFS.

Booleano

aws:SourceIp Dirección IP privada del cliente que accede a un sistema de archivos de EFS. Cadena
elasticfilesystem:AccessPointArn ARN del punto de acceso de EFS al que se está conectando el cliente. Cadena
elasticfilesystem:AccessedViaMountTarget Use esta clave para impedir el acceso a un sistema de archivos de EFS por parte de los clientes que no utilizan destinos de montaje del sistema de archivos.

Booleano

Ejemplos de política del sistema de archivos

Para ver ejemplos de políticas del sistema de archivos de Amazon EFS, consulte Ejemplos de políticas basadas en recursos de Amazon Elastic File System.