Memblokir akses publik - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memblokir akses publik

Fitur akses publik Amazon EFS menyediakan pengaturan untuk membantu Anda mengelola akses publik ke sistem file Amazon EFS. Secara default, sistem file Amazon EFS baru tidak mengizinkan akses publik. Namun, Anda dapat mengubah kebijakan sistem file untuk memungkinkan akses publik.

Memblokir akses publik denganAWS Transfer Family

Saat Anda menggunakan Amazon EFSAWS Transfer Family, permintaan akses sistem file yang diterima dari server Transfer Family yang dimiliki oleh akun yang berbeda dari sistem file diblokir jika sistem file memungkinkan akses publik. Amazon EFS mengevaluasi kebijakan IAM sistem file, dan jika kebijakan bersifat publik, kebijakan tersebut akan memblokir permintaan. Untuk mengizinkanAWS Transfer Familyakses ke sistem file Anda, memperbarui kebijakan sistem file Anda sehingga tidak dianggap publik.

catatan

Menggunakan Transfer Family dengan Amazon EFS dinonaktifkan secara default untukAkun AWSS yang memiliki sistem file EFS dengan kebijakan yang memungkinkan akses publik yang dibuat sebelum 6 Januari 2021. Untuk mengaktifkan penggunaan Transfer Family untuk mengakses sistem file Anda, hubungiAWSSupport.

Arti “publik”

Saat mengevaluasi apakah sistem file memungkinkan akses publik, Amazon EFS mengasumsikan bahwa kebijakan sistem file bersifat publik. Kemudian mengevaluasi kebijakan sistem file untuk menentukan apakah memenuhi syarat sebagai non-publik. Agar dianggap non-publik, suatu kebijakan sistem file harus memberikan akses hanya ke nilai-nilai tetap (nilai yang tidak mengandung wild card) dari satu atau lebih berikut ini:

  • Satu set Perutean Antar-Domain Tanpa Kelas (CIDRs), menggunakan aws:SourceIp. Untuk informasi lebih lanjut tentang CIDR, lihat RFC 4632 di situs web Editor RFC.

  • SesiAWSPrinsipal, pengguna, peran, atau prinsipal layanan (misalnya,aws:PrincipalOrgID)

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

Berdasarkan aturan ini, contoh kebijakan berikut ini dianggap publik.

{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ] } ] }

Anda dapat membuat kebijakan sistem file ini non-publik dengan menggunakan kunci kondisi EFSelasticfilesystem:AccessedViaMountTargetdiatur ke true. Anda dapat menggunakanelasticfilesystem:AccessedViaMountTargetuntuk memungkinkan tindakan EFS yang ditentukan untuk klien yang mengakses sistem file EFS menggunakan target pemasangan sistem file. Kebijakan non-publik berikut menggunakanelasticfilesystem:AccessedViaMountTargetkondisi kunci diatur ke true.

{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }

Untuk informasi selengkapnya tentang kunci kondisi Amazon EFS, lihatKunci kondisi EFS untuk klien. Untuk informasi selengkapnya tentang pembuatan kebijakan sistem file, lihatPembuatan kebijakan sistem file.