Utilisation IAM pour contrôler l'accès aux données du système de fichiers

Vous pouvez utiliser à la fois des politiques IAM d'identité et des politiques de ressources pour contrôler l'accès des clients aux EFS ressources Amazon de manière évolutive et optimisée pour les environnements cloud. Vous pouvez ainsi autoriser les clients à effectuer des actions spécifiques sur un système de fichiers, notamment en lecture seule, en écriture et en accès root. IAM Une autorisation « d'autorisation » sur une action dans le cadre d'une politique d'IAMidentité ou d'une politique de ressources du système de fichiers autorise l'accès à cette action. L’autorisation n’a pas besoin d’être accordée à la fois dans une politique d’identité et dans une politique de ressources.

NFSles clients peuvent s'identifier à l'aide d'un IAM rôle lorsqu'ils se connectent à un système de EFS fichiers. Lorsqu'un client se connecte à un système de fichiers, Amazon EFS évalue la politique de IAM ressources du système de fichiers, appelée politique de système de fichiers, ainsi que les IAM politiques basées sur l'identité afin de déterminer les autorisations d'accès au système de fichiers appropriées à accorder.

Lorsque vous utilisez l'IAMautorisation pour les NFS clients, les connexions client et les décisions IAM d'autorisation sont enregistrées AWS CloudTrail. Pour plus d'informations sur la façon de consigner EFS API les appels Amazon avec CloudTrail, consultezEnregistrement des EFS API appels Amazon avec AWS CloudTrail.

Important

Vous devez utiliser l'assistant de EFS montage pour monter vos systèmes de EFS fichiers Amazon afin d'utiliser l'IAMautorisation pour contrôler l'accès des clients. Pour de plus amples informations, veuillez consulter Montage avec IAM autorisation.

Politique EFS du système de fichiers par défaut

La politique de système de EFS fichiers par défaut n'est pas utilisée IAM pour s'authentifier et accorde un accès complet à tout client anonyme qui peut se connecter au système de fichiers à l'aide d'une cible de montage. La politique par défaut est en vigueur quand aucune politique de système de fichiers configurée par l’utilisateur n’est en vigueur, y compris au moment de la création du système de fichiers. Chaque fois que la politique du système de fichiers par défaut est en vigueur, une DescribeFileSystemPolicy API opération renvoie une PolicyNotFound réponse.

EFSactions pour les clients

Vous pouvez spécifier les actions suivantes pour les clients sur un système de fichiers à l’aide d’une stratégie de système de fichiers.

Action	Description
elasticfilesystem:ClientMount	Fournit un accès en lecture seule à un système de fichiers.
elasticfilesystem:ClientWrite	Fournit les droits d’écriture sur un système de fichiers.
elasticfilesystem:ClientRootAccess	Permet d’utiliser l’utilisateur root lors de l’accès à un système de fichiers.

EFSclés de condition pour les clients

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Amazon EFS dispose des clés de condition prédéfinies suivantes pour les NFS clients. Aucune autre clé de condition n'est appliquée lors de l'utilisation de IAM contrôles pour sécuriser l'accès aux systèmes de EFS fichiers.

EFSClé de condition	Description	Opérateur
aws:SecureTransport	Utilisez cette clé pour obliger les clients à l'utiliser TLS lorsqu'ils se connectent à un système de EFS fichiers.	Booléen
aws:SourceIp	Adresse IP privée du client accédant à un système de EFS fichiers.	Chaîne
elasticfilesystem:AccessPointArn	ARNdu point EFS d'accès auquel le client se connecte.	Chaîne
elasticfilesystem:AccessedViaMountTarget	Utilisez cette clé pour empêcher les clients qui n'utilisent pas de cibles de montage de systèmes de fichiers d'accéder à un EFS système de fichiers.	Booléen

Exemples de stratégie de système de fichiers

Pour consulter des exemples de politiques relatives aux systèmes de EFS fichiers Amazon, consultezExemples de politiques basées sur les ressources pour Amazon EFSAmazon EFS.