Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memblokir akses publik
Fitur akses publik Amazon EFS menyediakan pengaturan untuk membantu Anda mengelola akses publik ke sistem file Amazon EFS. Secara default, sistem file Amazon EFS baru tidak mengizinkan akses publik. Namun, Anda dapat mengubah kebijakan sistem file untuk memungkinkan akses publik.
Memblokir akses publik denganAWS Transfer Family
Saat Anda menggunakan Amazon EFSAWS Transfer Family, permintaan akses sistem file yang diterima dari server Transfer Family yang dimiliki oleh akun yang berbeda dari sistem file diblokir jika sistem file memungkinkan akses publik. Amazon EFS mengevaluasi kebijakan IAM sistem file, dan jika kebijakan bersifat publik, kebijakan tersebut akan memblokir permintaan. Untuk mengizinkanAWS Transfer Familyakses ke sistem file Anda, memperbarui kebijakan sistem file Anda sehingga tidak dianggap publik.
catatan
Menggunakan Transfer Family dengan Amazon EFS dinonaktifkan secara default untukAkun AWSS yang memiliki sistem file EFS dengan kebijakan yang memungkinkan akses publik yang dibuat sebelum 6 Januari 2021. Untuk mengaktifkan penggunaan Transfer Family untuk mengakses sistem file Anda, hubungiAWSSupport.
Arti “publik”
Saat mengevaluasi apakah sistem file memungkinkan akses publik, Amazon EFS mengasumsikan bahwa kebijakan sistem file bersifat publik. Kemudian mengevaluasi kebijakan sistem file untuk menentukan apakah memenuhi syarat sebagai non-publik. Agar dianggap non-publik, suatu kebijakan sistem file harus memberikan akses hanya ke nilai-nilai tetap (nilai yang tidak mengandung wild card) dari satu atau lebih berikut ini:
Satu set Perutean Antar-Domain Tanpa Kelas (CIDRs), menggunakan
aws:SourceIp
. Untuk informasi lebih lanjut tentang CIDR, lihat RFC 4632di situs web Editor RFC. SesiAWSPrinsipal, pengguna, peran, atau prinsipal layanan (misalnya,
aws:PrincipalOrgID
)aws:SourceArn
aws:SourceVpc
aws:SourceVpce
aws:SourceOwner
aws:SourceAccount
elasticfilesystem:AccessedViaMountTarget
aws:userid, outside the pattern "AROLEID:*"
Berdasarkan aturan ini, contoh kebijakan berikut ini dianggap publik.
{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ] } ] }
Anda dapat membuat kebijakan sistem file ini non-publik dengan menggunakan kunci kondisi EFSelasticfilesystem:AccessedViaMountTarget
diatur ke true. Anda dapat menggunakanelasticfilesystem:AccessedViaMountTarget
untuk memungkinkan tindakan EFS yang ditentukan untuk klien yang mengakses sistem file EFS menggunakan target pemasangan sistem file. Kebijakan non-publik berikut menggunakanelasticfilesystem:AccessedViaMountTarget
kondisi kunci diatur ke true.
{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
Untuk informasi selengkapnya tentang kunci kondisi Amazon EFS, lihatKunci kondisi EFS untuk klien. Untuk informasi selengkapnya tentang pembuatan kebijakan sistem file, lihatMembuat kebijakan sistem file.