Mengendalikan akses ke API EFS - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengendalikan akses ke API EFS

Anda dapat menggunakan kebijakan identitas IAM dan kebijakan sumber daya untuk memberikan izin untuk melakukan operasi API pada sumber daya Amazon EFS. Topik ini memberikan contoh kebijakan berbasis identitas yang menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran) karena ini adalah cara paling umum untuk mengendalikan akses ke Amazon EFS API.

penting

Kami menyarankan Anda untuk terlebih dahulu meninjau topik pendahuluan yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya Amazon EFS Anda. Untuk informasi selengkapnya, lihat Ikhtisar pengelolaan izin akses untuk sumber daya Amazon EFS.

Bagian dalam topik ini mencakup hal berikut:

Berikut adalah contoh kebijakan izin.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "AllowFileSystemPermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "AllowEC2Permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }

Kebijakan ini memiliki dua pernyataan:

  • Pernyataan pertama memberikan izin untuk dua tindakan Amazon EFS (elasticfilesystem:CreateFileSystemdanelasticfilesystem:CreateMountTarget) pada sumber daya yang menggunakan Amazon Resource Name (ARN) untuk sistem file. ARN menentukan karakter wild card (*) karena Anda tidak tahu ID sistem file sampai setelah Anda membuat sistem file.

  • Pernyataan kedua memberikan izin untuk beberapa tindakan Amazon EC2 karenaelasticfilesystem:CreateMountTargettindakan dalam pernyataan pertama memerlukan izin untuk tindakan Amazon EC2 tertentu. Karena tindakan Amazon EC2 ini tidak mendukung izin tingkat sumber daya, kebijakan menentukan karakter wild card (*) sebagaiResourcenilai alih-alih menentukan sistem file ARN.

Kebijakan tidak menyebutkan elemen Principal karena dalam kebijakan berbasis identitas, Anda tidak menyebutkan pengguna utama yang mendapatkan izin. Saat Anda menyematkan kebijakan kepada pengguna, pengguna itu adalah pengguna utama implisit. Saat Anda melampirkan kebijakan izin pada IAM role, penanggung jawab yang diidentifikasi dalam kebijakan kepercayaan peran mendapatkan izin.

Untuk tabel yang menampilkan semua Tindakan Amazon EFS dan sumber daya yang diterapkan, lihatIzin Amazon EFS API: tindakan, dan referensi kondisi.

Izin yang Diperlukan untuk Menggunakan Konsol Amazon EFS

Tabel referensi izin mencantumkan operasi Amazon EFS API dan menunjukkan izin yang diperlukan untuk setiap operasi. Untuk informasi selengkapnya tentang operasi API Amazon EFS, lihatIzin Amazon EFS API: tindakan, dan referensi kondisi.

Untuk menggunakan Amazon EFS konsol, Anda harus memberikan izin untuk tindakan tambahan seperti yang ditunjukkan di kebijakan izin berikut ini.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1AddtionalEC2PermissionsForConsole", "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeVpcAttribute" ], "Resource": "*" }, { "Sid" : "Stmt2AdditionalKMSPermissionsForConsole", "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:DescribeKey" ], "Resource": "*" } ] }

Konsol Amazon EFS memerlukan izin tambahan ini karena alasan berikut:

  • Izin untuk tindakan Amazon EFS memungkinkan konsol menampilkan sumber daya Amazon EFS di akun tersebut.

  • Konsol membutuhkan izin untukec2tindakan untuk melakukan kueri Amazon EC2 sehingga dapat menampilkan Availability Zone, VPC, grup keamanan, dan atribut akun.

  • Konsol membutuhkan izin untukkmstindakan untuk membuat sistem file terenkripsi. Untuk informasi lebih lanjut tentang sistem file terenkripsi, lihatEnkripsi data di Amazon EFS.

AWSkebijakan terkelola (standar) untuk Amazon EFS

AWS menangani banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh AWS. Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan Terkelola AWS dalam Panduan Pengguna IAM.

BerikutAWSKebijakan terkelola, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon EFS:

  • AmazonElasticFileSystemReadOnlyAccess— Memberikan akses hanya-baca ke sumber daya Amazon EFS.

  • AmazonElasticFileSystemFullaccess— Memberikan akses penuh ke sumber daya Amazon EFS.

catatan

Anda dapat meninjau kebijakan izin ini dengan masuk ke konsol manajemen IAM dan mencari kebijakan tertentu di sana.

Anda dapat membuat kebijakan IAM khusus untuk mengizinkan izin tindakan Amazon EFS API. Anda dapat melampirkan kebijakan kustom ini ke pengguna IAM atau grup yang memerlukan izin tersebut.

Contoh kebijakan yang dikelola pelanggan

Pada bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan Amazon EFS. Kebijakan ini berlaku saat Anda menggunakan AWS SDK atau AWS CLI. Saat menggunakan konsol, Anda perlu memberikan izin tambahan yang khusus untuk konsol, yang dibahas dalam Izin yang Diperlukan untuk Menggunakan Konsol Amazon EFS.

catatan

Semua contoh menggunakan us-west-2Wilayah AWSdan berisi ID akun fiktif.

Contoh 1: Memungkinkan pengguna untuk membuat target mount dan tag pada sistem file yang ada

Kebijakan izin berikut memberikan izin pengguna untuk membuat target mount dan tag pada sistem file tertentu dius-west-2Wilayah. Untuk membuat target pemasangan, izin untuk tindakan Amazon EC2 tertentu juga diperlukan dan disertakan dalam kebijakan izin.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1CreateMountTargetAndTag", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateMountTarget", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:CreateTags", "elasticfilesystem:DescribeTags" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:123456789012:file-system/file-system-ID" }, { "Sid" : "Stmt2AdditionalEC2PermissionsToCreateMountTarget", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }

Contoh 2: Memungkinkan pengguna untuk melakukan semua tindakan Amazon EFS

Kebijakan izin berikut menggunakan karakter wild card ("elasticfilesystem:*") untuk mengizinkan semua tindakan Amazon EFS dius-west-2Wilayah. Karena beberapa tindakan Amazon EFS juga memerlukan izin untuk tindakan Amazon EC2, kebijakan tersebut juga memberikan izin untuk semua tindakan tersebut.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1PermissionForAllEFSActions", "Effect": "Allow", "Action": "elasticfilesystem:*", "Resource": "arn:aws:elasticfilesystem:us-west-2:123456789012:file-system/*" }, { "Sid" : "Stmt2RequiredEC2PermissionsForAllEFSActions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaceAttribute" ], "Resource": "*" } ] }

Izin Amazon EFS API: tindakan, dan referensi kondisi

Saat Anda mengatur Kontrol akses dan menulis kebijakan izin yang dapat Anda lampirkan ke identitas IAM (kebijakan berbasis identitas), Anda dapat menggunakan tabel sebagai referensi. Parameterdaftar tabel setiap operasi Amazon EFS API, tindakan terkait yang dapat Anda berikan izin untuk dilakukan, danAWSsumber daya yang dapat Anda berikan izin. Anda menentukan tindakan di kolom Action kebijakan, dan Anda menentukan nilai sumber daya di kolom Resource kebijakan.

Anda dapat menggunakanAWSkunci syarat di seluruh di kebijakan Amazon EFS untuk mengekspresikan kondisi. Untuk daftar lengkap kunci di seluruh AWS, lihat Kunci yang Tersedia di Panduan Pengguna IAM.

catatan

Untuk menentukan tindakan, gunakan awalan elasticfilesystem: diikuti dengan nama operasi API (misalnya, elasticfilesystem:CreateFileSystem).

Gunakan bilah gulir untuk melihat seluruh tabel.

API Amazon EFS dan Izin yang Diperlukan untuk Tindakan
Operasi API Amazon EFS Izin yang Diperlukan (Tindakan API) Sumber daya

CreateAccessPoint

elasticfilesystem:CreateAccessPoint

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

CreateFileSystem

elasticfilesystem:CreateFileSystem

Untuk informasi tentang izin terkait KMS untuk sistem file terenkripsi, lihatKebijakan utama Amazon EFS untukAWS KMS.

arn:aws:elasticfilesystem:region:account-id:file-system/*

CreateMountTarget

elasticfilesystem:CreateMountTarget

ec2:DescribeSubnets

ec2:DescribeNetworkInterfaces

ec2:CreateNetworkInterface

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

CreateReplicationConfiguration

elasticfilesystem:CreateReplicationConfiguration

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

(Tidak lagi digunakan lagiTagResource)CreateTags

elasticfilesystem:CreateTags arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
DeleteAccessPoint elasticfilesystem:DeleteAccessPoint arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id
DeleteFileSystem elasticfilesystem:DeleteFileSystem arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
DeleteFileSystemPolicy elasticfilesystem:DeleteFileSystemPolicy arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
DeleteMountTarget

elasticfilesystem:DeleteMountTarget

ec2:DeleteNetworkInterface

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

DeleteReplicationConfiguration

elasticfilesystem:DeleteReplicationConfiguration

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id/replication-configuration

(Tidak lagi digunakan lagiUntagResource)DeleteTags

elasticfilesystem:DeleteTags arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
DescribeAccessPoints elasticfilesystem:DescribeAccessPoints

arn:aws:elasticfilesystem:region:account-id:access-point/*

or

arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id

DescribeBackupPolicy elasticfilesystem:DescribeBackupPolicy

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

DescribeFileSystemPolicy elasticfilesystem:DescribeFileSystemPolicy

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

DescribeFileSystems elasticfilesystem:DescribeFileSystems

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

or

arn:aws:elasticfilesystem:region:account-id:file-system/*

DescribeLifecycleConfiguration

elasticfilesystem:DescribeLifecycleConfiguration

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

DescribeMountTargetSecurityGroups

elasticfilesystem:DescribeMountTargetSecurityGroups

ec2:DescribeNetworkInterfaceAttribute

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
DescribeMountTargets elasticfilesystem:DescribeMountTargets

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

or

arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id

DescribeReplicationConfigurations

elasticfilesystem:DescribeReplicationConfigurations

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id/replication-configuration

(Tidak lagi digunakan lagiListTagsForResource)DescribeTags

elasticfilesystem:DescribeTags arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
ListTagsForResource elasticfilesystem:DescribeAccessPoints arn:aws:elasticfilesystem:region:account-id:resource-tags/resource-id
ModifyMountTargetSecurityGroups

elasticfilesystem:ModifyMountTargetSecurityGroups

ec2:ModifyNetworkInterfaceAttribute

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
PutBackupPolicy elasticfilesystem:PutBackupPolicy

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

PutFileSystemPolicy

elasticfilesystem:PutFileSystemPolicy

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
PutLifecycleConfiguration

elasticfilesystem:PutLifecycleConfiguration

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
TagResource

elasticfilesystem:TagResource

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
UntagResource

elasticfilesystem:UntagResource

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
UpdateFileSystem

elasticfilesystem:UpdateFileSystem

arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id