Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Courge rouge Lustre
Root squash est une fonctionnalité administrative qui ajoute une couche supplémentaire de contrôle d'accès aux fichiers en plus du contrôle d'accès basé sur le réseau actuel et des autorisations de fichiers POSIX. Grâce à la fonctionnalité root squash, vous pouvez restreindre l'accès au niveau root aux clients qui tentent d'accéder à votre système de fichiers FSx for Lustre en tant que root.
Les autorisations de l'utilisateur root sont requises pour effectuer des actions administratives, telles que la gestion des autorisations sur les systèmes de fichiers FSx for Lustre. Cependant, l'accès root fournit un accès illimité aux utilisateurs, leur permettant de contourner les contrôles d'autorisation pour accéder, modifier ou supprimer des objets du système de fichiers. Grâce à la fonctionnalité root squash, vous pouvez empêcher l'accès non autorisé ou la suppression de données en spécifiant un ID utilisateur (UID) et un ID de groupe (GID) autres que root pour votre système de fichiers. Les utilisateurs root accédant au système de fichiers seront automatiquement convertis en utilisateur/groupe moins privilégié spécifié avec des autorisations limitées définies par l'administrateur du stockage.
La fonctionnalité Root Squash vous permet également, en option, de fournir une liste de clients qui ne sont pas concernés par le paramètre Root squash. Ces clients peuvent accéder au système de fichiers en tant que root, avec des privilèges illimités.
Comment fonctionne le courge-racine
La fonctionnalité root squash fonctionne en remappant l'ID utilisateur (UID) et l'ID de groupe (GID) de l'utilisateur root à un UID et un GID spécifiés par l'administrateur système Lustre. La fonctionnalité root squash vous permet également de spécifier éventuellement un ensemble de clients pour lesquels le remappage UID/GID ne s'applique pas.
Lorsque vous créez un nouveau système de fichiers FSx for Lustre, root squash est désactivé par défaut. Vous activez Root Squash en configurant un paramètre UID et GID root squash pour votre système de fichiers FSx for Lustre. Les valeurs UID et GID sont des nombres entiers pouvant aller de à : 0 4294967294
Une valeur différente de zéro pour l'UID et le GID active Root squash. Les valeurs UID et GID peuvent être différentes, mais chacune doit être une valeur différente de zéro.
Une valeur de
0(zéro) pour UID et GID indique root et désactive donc root squash.
Lors de la création du système de fichiers, vous pouvez utiliser la console Amazon FSx pour fournir les valeurs UID et GID de root squash dans la propriété Root Squash, comme indiqué dans. Pour activer Root Squash lors de la création d'un système de fichiers (console) Vous pouvez également utiliser le RootSquash paramètre avec l'API AWS CLI or pour fournir les valeurs UID et GID, comme indiqué dans. Pour activer Root Squash lors de la création d'un système de fichiers (CLI)
Facultativement, vous pouvez également spécifier une liste de NID de clients auxquels root squash ne s'applique pas. Un NID client est un identifiant de réseau Lustre utilisé pour identifier un client de manière unique. Vous pouvez spécifier le NID sous la forme d'une adresse unique ou d'une plage d'adresses :
Une adresse unique est décrite au format Lustre NID standard en spécifiant l'adresse IP du client suivie de l'ID réseau Lustre (par exemple,
10.0.1.6@tcp).Une plage d'adresses est décrite à l'aide d'un tiret pour séparer la plage (par exemple,
10.0.[2-10].[1-255]@tcp).Si vous ne spécifiez aucun NID client, il n'y aura aucune exception pour Root Squash.
Lorsque vous créez ou mettez à jour votre système de fichiers, vous pouvez utiliser la propriété Exceptions to Root Squash dans la console Amazon FSx pour fournir la liste des NID des clients. Dans l'API AWS CLI or, utilisez le NoSquashNids paramètre. Pour plus d'informations, consultez les procédures décrites dansGérer les courges racines.
Note
Root squash n'est pas pris en charge pour les sauvegardes et les restaurations. Pour utiliser les sauvegardes et les restaurations, vous devez désactiver Root Squash en définissant le RootSquash paramètre sur 0:0 et le NoSquashNids paramètre sur [] avec l'API AWS CLI or, ou en choisissant Désactiver dans la boîte de dialogue Mettre à jour les paramètres de Root Squash de la console Amazon FSx.
Gérer les courges racines
Lors de la création du système de fichiers, le squash root est désactivé par défaut. Vous pouvez activer Root Squash lors de la création d'un nouveau système de fichiers Amazon FSx for Lustre à partir de la console AWS CLI Amazon FSx ou de l'API.
-
Ouvrez la console Amazon FSx à l'adresse https://console.aws.amazon.com/fsx/.
Suivez la procédure de création d'un nouveau système de fichiers décrite Créez votre système de fichiers FSx for Lustre dans la section Démarrage.
Ouvrez la section Root Squash - facultative.
-
Pour Root Squash, indiquez les identifiants d'utilisateur et de groupe avec lesquels l'utilisateur root peut accéder au système de fichiers. Vous pouvez spécifier n'importe quel nombre entier compris entre
1—4294967294:Pour ID utilisateur, spécifiez l'ID utilisateur que l'utilisateur root doit utiliser.
Pour ID de groupe, spécifiez l'ID de groupe que l'utilisateur root doit utiliser.
-
(Facultatif) Pour les exceptions à la courge racine, procédez comme suit :
Choisissez Ajouter une adresse client.
Dans le champ Adresses des clients, spécifiez l'adresse IP d'un client auquel Root Squash ne s'applique pas. Pour plus d'informations sur le format de l'adresse IP, voirComment fonctionne le courge-racine.
Répétez l'opération si nécessaire pour ajouter d'autres adresses IP de clients.
-
Complétez l'assistant comme vous le faites lorsque vous créez un nouveau système de fichiers.
-
Choisissez Review and create.
-
Passez en revue les paramètres que vous avez choisis pour votre système de fichiers Amazon FSx for Lustre, puis choisissez Create file system.
Lorsque le système de fichiers est disponible, Root Squash est activé.
Pour créer un système de fichiers FSx for Lustre avec root squash activé, utilisez la
create-file-systemcommande Amazon FSx CLI avec le paramètre.RootSquashConfigurationL'opération d'API correspondante est CreateFileSystem.Pour le
RootSquashConfigurationparamètre, définissez les options suivantes :RootSquash— Les valeurs UID:GID séparées par des virgules qui spécifient l'ID utilisateur et l'ID de groupe que l'utilisateur root doit utiliser. Vous pouvez spécifier n'importe quel nombre entier compris entre0—4294967294(0 correspond à la racine) pour chaque ID (par exemple,65534:65534).NoSquashNids— Spécifiez les identifiants réseau Lustre (NID) des clients auxquels root squash ne s'applique pas. Pour plus d'informations sur le format NID du client, consultezComment fonctionne le courge-racine.
L'exemple suivant crée un système de fichiers FSx for Lustre avec root squash activé :
$aws fsx create-file-system \ --client-request-token CRT1234 \ --file-system-type LUSTRE \ --file-system-type-version 2.15 \ --lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\ RootSquashConfiguration={RootSquash="65534:65534",\ NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \ --storage-capacity 2400 \ --subnet-ids subnet-123456 \ --tags Key=Name,Value=Lustre-TEST-1 \ --region us-east-2
Une fois le système de fichiers créé avec succès, Amazon FSx renvoie la description du système de fichiers au format JSON, comme illustré dans l'exemple suivant.
{
"FileSystems": [
{
"OwnerId": "111122223333",
"CreationTime": 1549310341.483,
"FileSystemId": "fs-0123456789abcdef0",
"FileSystemType": "LUSTRE",
"FileSystemTypeVersion": "2.15",
"Lifecycle": "CREATING",
"StorageCapacity": 2400,
"VpcId": "vpc-123456",
"SubnetIds": [
"subnet-123456"
],
"NetworkInterfaceIds": [
"eni-039fcf55123456789"
],
"DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
"ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
"Tags": [
{
"Key": "Name",
"Value": "Lustre-TEST-1"
}
],
"LustreConfiguration": {
"DeploymentType": "PERSISTENT_2",
"DataCompressionType": "LZ4",
"PerUnitStorageThroughput": 250,
"RootSquashConfiguration": {
"RootSquash": "65534:65534",
"NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
}
}
]
}Vous pouvez également mettre à jour les paramètres root squash de votre système de fichiers existant à l'aide de la console Amazon FSx ou de l'AWS CLIAPI. Par exemple, vous pouvez modifier les valeurs UID et GID de root squash, ajouter ou supprimer des NID clients ou désactiver root squash.
Ouvrez la console Amazon FSx à l'adresse https://console.aws.amazon.com/fsx/.
-
Accédez à Systèmes de fichiers, puis choisissez le système de fichiers Lustre pour lequel vous souhaitez gérer Root Squash.
Pour Actions, choisissez Mettre à jour la courge rouge. Ou, dans le panneau Résumé, choisissez Mettre à jour à côté du champ Root Squash du système de fichiers pour afficher la boîte de dialogue Mettre à jour les paramètres de Root Squash.
-
Pour Root Squash, mettez à jour les identifiants d'utilisateur et de groupe avec lesquels l'utilisateur root peut accéder au système de fichiers. Vous pouvez spécifier n'importe quel nombre entier compris entre
0—4294967294. Pour désactiver Root Squash, spécifiez0(zéro) pour les deux identifiants.Pour ID utilisateur, spécifiez l'ID utilisateur que l'utilisateur root doit utiliser.
Pour ID de groupe, spécifiez l'ID de groupe que l'utilisateur root doit utiliser.
-
Pour les exceptions relatives à la courge rouge, procédez comme suit :
Choisissez Ajouter une adresse client.
Dans le champ Adresses des clients, spécifiez l'adresse IP d'un client auquel root squash ne s'applique pas,
Répétez l'opération si nécessaire pour ajouter d'autres adresses IP de clients.
Choisissez Mettre à jour.
Note
Si Root squash est activé et que vous souhaitez le désactiver, choisissez Désactiver au lieu de suivre les étapes 4 à 6.
Vous pouvez suivre la progression de la mise à jour sur la page détaillée des systèmes de fichiers dans l'onglet Mises à jour.
Pour mettre à jour les paramètres root squash d'un système de fichiers FSx for Lustre existant, utilisez AWS CLI la update-file-systemcommande. L'opération d'API correspondante est UpdateFileSystem.
Définissez les paramètres suivants :
-
Définissez
--file-system-idl'ID du système de fichiers que vous mettez à jour. -
Définissez les
--lustre-configuration RootSquashConfigurationoptions comme suit :RootSquash— Définissez les valeurs UID:GID séparées par des deux-points qui spécifient l'ID utilisateur et l'ID de groupe que l'utilisateur root doit utiliser. Vous pouvez spécifier n'importe quel nombre entier compris entre0—4294967294(0 correspond à la racine) pour chaque ID. Pour désactiver Root Squash, spécifiez0:0les valeurs UID:GID.NoSquashNids— Spécifiez les identifiants réseau Lustre (NID) des clients auxquels root squash ne s'applique pas.[]À utiliser pour supprimer tous les NID du client, ce qui signifie qu'il n'y aura aucune exception pour Root Squash.
Cette commande indique que root squash est activé en utilisant 65534 comme valeur l'ID utilisateur et l'ID de groupe de l'utilisateur root.
$ aws fsx update-file-system \ --file-system-id fs-0123456789abcdef0 \ --lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \ NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}
Si la commande aboutit, Amazon FSx for Lustre renvoie la réponse au format JSON.
Vous pouvez consulter les paramètres root squash de votre système de fichiers dans le panneau Résumé de la page de détails du système de fichiers sur la console Amazon FSx ou en réponse à une commande describe-file-systemsCLI (l'action d'API équivalente est DescribeFileSystems).
