Uso de IAM para controlar el acceso a los datos del sistema de archivos - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de IAM para controlar el acceso a los datos del sistema de archivos

Puede utilizar políticas de identidad de IAM y políticas de recursos para controlar el acceso de los clientes a recursos de Amazon EFS de una manera escalable y optimizada para entornos de nube. Mediante IAM, puede permitir que los clientes realicen acciones específicas en un sistema de archivos, incluido el acceso de solo lectura, escritura y raíz.

Los clientes de NFS pueden identificarse mediante un rol de IAM al conectarse a un sistema de archivos EFS. Cuando un cliente se conecta a un sistema de archivos, Amazon EFS evalúa la política de recursos de IAM del sistema de archivos, conocida como política del sistema de archivos, junto con las políticas de IAM basadas en la identidad de para determinar los permisos de acceso del sistema de archivos que se deben conceder.

Cuando utiliza la autorización de IAM para clientes de NFS, las conexiones de cliente y las decisiones de autorización de IAM se registran enAWS CloudTrail. Para obtener más información acerca de cómo registrar llamadas a la API de Amazon EFS con CloudTrail, consulteRegistro de llamadas API de Amazon EFS conAWS CloudTrail.

importante

Debe utilizar el ayudante de montaje EFS para montar sus sistemas de archivos de Amazon EFS con el fin de utilizar la autorización de IAM para controlar el acceso de los clientes. Para obtener más información, consulte Montaje con autorización de IAM.

Política del sistema de archivos de EFS predeterminada

La política predeterminada del sistema de archivos EFS otorga acceso completo a cualquier cliente que pueda conectarse al sistema de archivos mediante un destino de montaje del sistema de archivos. La política predeterminada se aplica siempre que no esté vigente una política de sistema de archivos configurada por el usuario, incluso en la creación del sistema de archivos. Siempre que la política del sistema de archivos predeterminada esté en vigor, una operación de API DescribeFileSystemPolicy devuelve una respuesta PolicyNotFound.

Acciones EFS para clientes

Puede especificar las siguientes acciones para clientes que acceden a un sistema de archivos mediante una política de sistema de archivos.

Acción Descripción

elasticfilesystem:ClientMount

Proporciona acceso de solo lectura a un sistema de archivos.

elasticfilesystem:ClientWrite

Proporciona permisos de escritura en un sistema de archivos.

elasticfilesystem:ClientRootAccess

Proporciona el uso del usuario raíz al acceder a un sistema de archivos.

Claves de condición EFS para clientes

Para expresar condiciones, se usan claves de condición predefinidas. Amazon EFS tiene las siguientes claves de condición predefinidas para clientes de NFS.

Clave de condición de EFS Descripción "."
aws:SecureTransport

Utilice esta clave para exigir a los clientes que utilicen TLS al conectarse a un sistema de archivos EFS.

Booleano

elasticfilesystem:AccessPointArn ARN del punto de acceso de EFS al que se está conectando el cliente.
elasticfilesystem:AccessedViaMountTarget Utilice esta clave para evitar el acceso a un sistema de archivos EFS por parte de clientes que no utilizan destinos de montaje del sistema de archivos.

Booleano

Ejemplos de directivas del sistema de archivos

En esta sección, encontrará ejemplos de políticas del sistema de archivos que conceden o deniegan permisos para varias acciones de Amazon EFS. Las políticas del sistema de archivos de Amazon EFS tienen un límite de 20.000 caracteres. Para obtener información sobre los elementos de una política basada en recursos, consulte Especificar elementos de políticas: acciones, efectos y entidades de seguridad.

importante

Si concede permiso a un usuario o rol de IAM individual en una política de sistema de archivos, no elimine ni vuelva a crear ese usuario o rol mientras la política esté vigente en el sistema de archivos. Si esto sucede, ese usuario o rol se bloquea efectivamente en el sistema de archivos y no podrá acceder a él. Para obtener más información, consulte Especificación de una entidad principal en la Guía del usuario de IAM.

Para obtener información acerca de cómo crear una política de sistema de archivos, consulteCreación de políticas del sistema de archivos.

Ejemplo 1: Permita que obtenga acceso de lectura y escritura a unAWSusuario de

Esta política de sistema de archivos EFS de ejemplo tiene las características siguientes:

  • El efecto es Allow.

  • El principal se establece en el usuario CarlosSalazar.

  • La acción se establece enClientMount(leer), yClientWrite.

  • La condición para conceder permisos se establece enSecureTransport: solo se concede acceso a los clientes que utilizan el protocolo de cifrado TLS.

{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleSatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/CarlosSalazar" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "Bool": { "aws:SecureTransport": "true" } } } ] }

Ejemplo 2: Conceder acceso de solo lectura

La siguiente directiva del sistema de archivos sólo concedeClientMountPermisos de, o de solo lectura, para el rol EfsReadOnly IAM.

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

Para obtener información sobre cómo establecer políticas adicionales del sistema de archivos, incluida la denegación del acceso raíz a todas las entidades principales de IAM, excepto una estación de trabajo de administración específica, consulteTutorial: Habilitar la agrupación de nodo raíz mediante la autorización de IAM para clientes NFS.

Ejemplo 3: Conceder acceso a un punto de acceso EFS

Utilice una política de acceso EFS para proporcionar a un cliente de NFS una vista específica de la aplicación en conjuntos de datos basados en archivos compartidos en un sistema de archivos EFS. Conceder permisos de punto de acceso en el sistema de archivos mediante una política de sistema de archivos. En este ejemplo de política de archivos se utiliza un elemento de condición para conceder un punto de acceso específico que se identifica por el acceso completo de su ARN al sistema de archivos. Para obtener más información acerca de los puntos de acceso de EFS, consulte.Trabajar con puntos de acceso de Amazon EFS.

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }