Ejemplos de políticas basadas en recursos de Amazon Elastic File System - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas basadas en recursos de Amazon Elastic File System

En esta sección, puede encontrar políticas de sistema de archivos de ejemplo que conceden o deniegan permisos para varias acciones de Amazon EFS. Las políticas del sistema de archivos de Amazon EFS tienen un límite de 20 000 caracteres. Para obtener información sobre los elementos de una política basada en recursos, consulte Políticas basadas en recursos de Amazon EFS.

importante

Si concede permiso a un usuario o rol de IAM individual en una política de sistema de archivos, no elimine ni vuelva a crear ese usuario o rol mientras la política siga vigente en el sistema de archivos. Si esto sucede, ese usuario o rol se bloquea efectivamente en el sistema de archivos y no podrá acceder a él. Para obtener más información, consulte Especificación de una entidad principal en la Guía del usuario de IAM.

Para obtener información acerca de cómo crear una política de sistema de archivos, consulte Creación de políticas de sistema de archivos.

Ejemplo: conceder acceso de lectura y escritura a un AWS rol específico

En este ejemplo, la política de sistema de archivos de EFS tiene las características siguientes:

  • El efecto es Allow.

  • La entidad principal se establece en Testing_Role en la Cuenta de AWS.

  • La acción se establece en ClientMount (lectura) y ClientWrite.

  • La condición para conceder permisos se establece en AccessedViaMountTarget.

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }

Ejemplo: conceder acceso de solo lectura

La siguiente política del sistema de archivos solo concede permisosClientMount, o solo de lectura, para el rol de EfsReadOnly IAM.

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

Para obtener información sobre cómo establecer políticas adicionales del sistema de archivos, incluida la denegación del acceso raíz a todas las entidades principales de IAM, excepto una estación de trabajo de administración específica, consulte Tutorial: Habilite la eliminación raíz mediante la autorización de IAM para clientes NFS.

Ejemplo: Otorgar acceso a un punto de acceso de EFS

Utilice una política de acceso de EFS para proporcionar a un cliente de NFS una vista específica de la aplicación en conjuntos de datos basados en archivos compartidos en un sistema de archivos de EFS. Conceder permisos de punto de acceso en el sistema de archivos mediante una política de sistema de archivos.

En este ejemplo de política de archivos se utiliza un elemento de condición para conceder un punto de acceso específico que se identifica por el acceso completo de su ARN al sistema de archivos.

Para obtener más información acerca de los puntos de acceso de EFS, consulte Trabajo con puntos de acceso de Amazon EFS.

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }