Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de IAM para controlar el acceso a los datos del sistema de archivos
Puede usar políticas de identidad de IAM y políticas de recursos para controlar el acceso de los clientes de NFS a los recursos de Amazon EFS de una manera escalable y optimizada para entornos de nube. Mediante IAM, puede permitir que los clientes realicen acciones específicas en un sistema de archivos, incluido el acceso de solo lectura, escritura y raíz. Un permiso de “permitir” para una acción, ya sea en una política de identidad de IAM o en una política de recursos del sistema de archivos, permite el acceso a esa acción. No es necesario conceder el permiso tanto en una política de identidad como en una política de recursos.
Los clientes de NFS pueden identificarse mediante un rol de IAM al conectarse a un sistema de archivos de EFS. Cuando un cliente se conecta a un sistema de archivos, Amazon EFS evalúa la política de recursos de IAM del sistema de archivos, conocida como política del sistema de archivos, junto con las políticas basadas en la identidad de IAM para determinar los permisos de acceso del sistema de archivos que se deben conceder.
Cuando utiliza la autorización de IAM para clientes de NFS, las conexiones de cliente y las decisiones de autorización de IAM se registran en AWS CloudTrail. Para obtener más información sobre cómo registrar las llamadas a la API de Amazon EFS CloudTrail, consulteRegistro de llamadas a la API de Amazon EFS con AWS CloudTrail.
importante
Debe utilizar el ayudante de montaje de EFS para montar sus sistemas de archivos de Amazon EFS con el fin de utilizar la autorización de IAM para controlar el acceso de los clientes. Para obtener más información, consulte Montaje con autorización de IAM.
Política predeterminada del sistema de archivos de EFS
La política predeterminada del sistema de archivos de EFS no utiliza IAM para autenticar y otorga acceso completo a cualquier cliente anónimo que pueda conectarse al sistema de archivos mediante un destino de montaje. La política predeterminada se aplica siempre que no se aplique una política de sistema de archivos configurada por el usuario, incluso al crear el sistema de archivos. Siempre que la política del sistema de archivos predeterminada esté en vigor, una operación de API DescribeFileSystemPolicy devuelve una respuesta PolicyNotFound.
Acciones de EFS para clientes
Puede especificar las siguientes acciones para clientes que acceden a un sistema de archivos mediante una política de sistema de archivos.
| Acción | Descripción |
|---|---|
|
|
Proporciona acceso de solo lectura a un sistema de archivos. |
|
|
Proporciona permisos de escritura en un sistema de archivos. |
|
|
Proporciona la capacidad de utilizar el usuario raíz al acceder a un sistema de archivos. |
Claves de condición de EFS para clientes
Cómo expresar condiciones, se usan claves de condición predefinidas. Amazon EFS tiene las siguientes claves de condición predefinidas para los clientes de NFS. No se aplica ninguna otra clave de condición cuando se utilizan los controles de IAM para proteger el acceso a los sistemas de archivos EFS.
| Clave de condición de EFS | Descripción | Operador |
|---|---|---|
aws:SecureTransport |
Utilice esta clave para exigir a los clientes que utilicen TLS al conectarse a un sistema de archivos de EFS. |
Booleano |
aws:SourceIp |
Dirección IP privada del cliente que accede a un sistema de archivos de EFS. | Cadena |
elasticfilesystem:AccessPointArn |
ARN del punto de acceso de EFS al que se está conectando el cliente. | Cadena |
elasticfilesystem:AccessedViaMountTarget |
Use esta clave para impedir el acceso a un sistema de archivos de EFS por parte de los clientes que no utilizan destinos de montaje del sistema de archivos. | Booleano |
Ejemplos de política del sistema de archivos
Para ver ejemplos de políticas del sistema de archivos de Amazon EFS, consulte Ejemplos de políticas basadas en recursos para Amazon EFS.
