Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de IAM para controlar el acceso a los datos del sistema de archivos
Puede utilizar tanto las políticas de identidad de IAM como las políticas de recursos para controlar el acceso de los clientes a los recursos de Amazon EFS de forma escalable y optimizada para los entornos de nube. Con IAM, puede permitir que los clientes realicen acciones específicas en un sistema de archivos, como el acceso de solo lectura, escritura y root. El permiso de «permitir» una acción, ya sea en una política de identidad de IAM o en una política de recursos del sistema de archivos, permite el acceso a esa acción. No es necesario conceder el permiso tanto en una política de identidad como en una política de recursos.
Los clientes NFS pueden identificarse mediante un rol de IAM cuando se conectan a un sistema de archivos EFS. Cuando un cliente se conecta a un sistema de archivos, Amazon EFS evalúa la política de recursos de IAM del sistema de archivos, que se denomina política del sistema de archivos, junto con cualquier política de IAM basada en la identidad para determinar los permisos de acceso al sistema de archivos adecuados que se deben conceder.
Al utilizar la autorización de IAM para los clientes de NFS, se registran las conexiones de los clientes y las decisiones de autorización de IAMAWS CloudTrail. Para obtener más información sobre cómo registrar las llamadas a la API de Amazon EFS conCloudTrail, consulteRegistro de llamadas a la API de Amazon EFS conAWS CloudTrail.
importante
Debe utilizar el asistente de montaje de EFS para montar sus sistemas de archivos de Amazon EFS a fin de utilizar la autorización de IAM para controlar el acceso de los clientes. Para obtener más información, consulte Montaje con autorización de IAM.
Política de sistema de archivos de EFS
La política de sistema de archivos de EFS no utiliza IAM para autenticarse y otorga acceso completo a cualquier cliente anónimo que pueda conectarse al sistema de archivos mediante un destino de montaje. La política predeterminada se aplica siempre que no se aplique una política de sistema de archivos configurada por el usuario, incluso al crear el sistema de archivos. Siempre que la política del sistema de archivos predeterminada esté en vigor, una operación de API DescribeFileSystemPolicy
devuelve una respuesta PolicyNotFound
.
Acciones de EFS para clientes
Puede especificar las siguientes acciones para que los clientes accedan a un sistema de archivos mediante una política del sistema de archivos.
Acción | Descripción |
---|---|
|
Proporciona acceso de solo lectura a un sistema de archivos. |
|
Proporciona permisos de escritura en un sistema de archivos. |
|
Proporciona el uso del usuario raíz al acceder a un sistema de archivos. |
Claves de condición de EFS para clientes
Para expresar condiciones, se usan claves de condición predefinidas. Amazon EFS tiene las siguientes claves de condiciones predefinidas para los clientes NFS. No se aplica ninguna otra clave de condición cuando se utilizan los controles de IAM para proteger el acceso a los sistemas de archivos EFS.
Clave de condición de EFS | Descripción | "." |
---|---|---|
aws:SecureTransport |
Utilice esta clave para solicitar a los clientes que usen TLS cuando se conecten a un sistema de archivos EFS. |
Booleano |
aws:SourceIp |
Dirección IP del cliente que accede al sistema de archivos EFS. | Cadena |
elasticfilesystem:AccessPointArn |
ARN del punto de acceso EFS al que se conecta el cliente. | Cadena |
elasticfilesystem:AccessedViaMountTarget |
Utilice esta clave para impedir que los clientes que no utilicen destinos de montaje del sistema de archivos accedan a un sistema de archivos EFS. | Booleano |
Ejemplos de políticas de sistemas de archivos
Para ver ejemplos de políticas del sistema de archivos de Amazon EFS, consulteEjemplos de políticas basadas en recursos de Amazon Elastic File System.