Ikhtisar pengelolaan izin akses untuk sumber daya Amazon EFS - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ikhtisar pengelolaan izin akses untuk sumber daya Amazon EFS

Setiap sumber daya AWS dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin pada identitas IAM (yaitu pengguna, grup, dan peran). Layanan lain, termasuk Amazon EFS, juga mendukung melampirkan kebijakan izin untuk sumber daya.

catatan

Seorang administrator akun (atau pengguna administrator) adalah pengguna dengan hak istimewa administrator. Untuk informasi lebih lanjut, lihat Praktik Terbaik IAM di Panduan Pengguna IAM.

Ketika memberikan izin, Anda memutuskan siap yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan tindakan khusus yang ingin Anda izinkan di sumber daya tersebut.

Sumber daya dan operasi Amazon EFS

Di Amazon EFS, sumber daya primer adalahsistem file. Amazon EFS juga mendukung jenis sumber daya tambahan,targetdantitik akses. Namun, untuk Amazon EFS, Anda dapat membuat target mount dan titik akses hanya dalam konteks sistem file yang ada. Target gunung dan titik akses disebut sebagaisub-sumber daya.

Sumber daya dan sub-sumber daya ini memiliki Amazon Resource Name (ARN) unik yang terkait dengan sumber daya tersebut, seperti yang ditunjukkan di tabel berikut.

Jenis sumber daya Format ARN
Sistem file arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id
Titik akses arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id

Amazon EFS menyediakan serangkaian operasi untuk bekerja dengan sumber daya Amazon EFS. Untuk daftar operasi yang tersedia, lihat Amazon EFSTindakandanTindakan EFS untuk klien.

Memahami kepemilikan sumber daya

Akun AWS memiliki sumber daya yang dibuat dalam akun, terlepas dari siapa yang membuat sumber daya tersebut. Secara khusus, pemilik sumber daya adalah Akun AWS dari entitas utama (yaitu, akun root, pengguna IAM, atau IAM role) yang mengautentikasi permintaan pembuatan sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensyal akun root AndaAkun AWSuntuk membuat sistem file, AndaAkun AWSadalah pemilik sumber daya (di Amazon EFS, sumber daya adalah sistem file).

  • Jika Anda membuat pengguna IAM diAkun AWSdan memberikan izin untuk membuat sistem file untuk pengguna tersebut, pengguna dapat membuat sistem file. Namun, AndaAkun AWS, yang dimiliki pengguna, memiliki sumber daya sistem file.

  • Jika Anda membuat peran IAM diAkun AWSdengan izin untuk membuat sistem file, siapa pun yang dapat menggunakan peran tersebut dapat membuat sistem file. KlasterAkun AWS, yang dimiliki peran, memiliki sumber daya sistem file.

Mengelola akses ke sumber daya

Kebijakan izin menggambarkan subjek yang memiliki akses dan objek yang diakses. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks Amazon EFS. Bagian ini tidak memberikan informasi detail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat Apa yang Dimaksud dengan IAM? di Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM di Panduan Pengguna IAM.

Kebijakan yang terlampir pada identitas IAM disebut kebijakan (kebijakan IAM) berbasis identitas dan kebijakan yang dilampirkan pada sumber daya disebut kebijakan berbasis sumber daya. Amazon EFS mendukung kebijakan berbasis identitas dan kebijakan berbasis sumber daya.

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan untuk identitas IAM untuk mengontrol akses ke API EFS atau untuk mengontrol akses klien NFS. Misalnya, untuk memberikan izin pengguna untuk membuat sumber daya Amazon EFS, seperti sistem file, Anda dapat melampirkan kebijakan izin ke pengguna atau grup tempat pengguna berada.

Untuk informasi selengkapnya tentang menggunakan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.

Berikut ini adalah kebijakan contoh yang menyediakan izin EFS dan EC2 yang diperlukan bagi pengguna untuk melakukanCreateFileSystemtindakan untukAkun AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1EFSpermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "Stmt2EC2permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ]

Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis identitas dengan Amazon EFS, lihatMengendalikan akses ke API EFS. Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) dalam Panduan Pengguna IAM.

Kebijakan berbasis sumber daya

Anda dapat menggunakan kebijakan sistem file untuk mengontrol akses API dan akses klien NFS ke sistem file. Amazon EFS mendukung kebijakan berbasis sumber daya untuk sistem file, yang disebutFileSystemPolicy. Menggunakan EFSFileSystemPolicyAnda dapat menentukan siapa yang memiliki akses ke sistem file dan tindakan apa yang dapat mereka lakukan di situ. Menggunakan kebijakan sistem file memberi Anda cara mudah untuk mengontrol akses ke sistem file Anda, dan memungkinkan Anda memberikan izin penggunaan ke akun lain berdasarkan sistem per-file. Hibah kebijakan sistem berkas berikutClientMount, atau hanya-baca, izin untukEfsReadOnlyIAM role.

{ "Version": "2012-10-17", "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ] } ] }
catatan

Kebijakan sistem file Amazon EFS memiliki batas karakter 20.000.

Untuk informasi selengkapnya tentang menggunakan kebijakan sistem file EFS untuk mengontrol akses ke data sistem file, lihatMenggunakan IAM untuk mengontrol akses data sistem file.

Menentukan elemen kebijakan: tindakan, efek, dan prinsip

Untuk setiap sumber daya Amazon EFS (lihatSumber daya dan operasi Amazon EFS), layanan menentukan serangkaian operasi API tindakan (lihatTindakandanTindakan EFS untuk klien) bahwa Anda dapat memberikan izin untuk. Untuk sumber daya sistem file Amazon EFS, contoh tindakan adalah:CreateFileSystem,DeleteFileSystem, danDescribeFileSystems. Melakukan operasi API dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut ini adalah elemen kebijakan paling dasar:

  • Sumber Daya— Dalam kebijakan berbasis sumber daya (kebijakan sistem file), sumber daya yang mengikuti kebijakan adalah sumber daya implisit. Untuk kebijakan berbasis identitas, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. Untuk informasi selengkapnya, lihat Sumber daya dan operasi Amazon EFS.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada Efek yang ditentukan,elasticfilesystem:CreateFileSystembaik mengizinkan atau menolak izin pengguna untuk melakukan Amazon EFSCreateFileSystemoperasi.

  • Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—baik mengizinkan maupun menolak. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.

  • Principal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang ingin Anda terima izinnya (berlaku hanya untuk kebijakan berbasis sumber daya).

Untuk mempelajari selengkapnya tentang sintaksis dan penjelasan kebijakan IAM, lihat Referensi Kebijakan IAM dalam Panduan Pengguna IAM.

Untuk tabel yang menampilkan semua tindakan Amazon EFS, lihatIzin Amazon EFS API: tindakan, dan referensi kondisi.

Untuk tabel yang menampilkan semua tindakan klien Amazon EFS, lihatMenggunakan IAM untuk mengontrol akses data sistem file.

Menentukan syarat dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan syarat kapan kebijakan akan berlaku. Untuk informasi selengkapnya tentang penentuan kondisi dalam kebijakan, lihatElemen Kebijakan IAM JSON: Ketentuan dalam Panduan Pengguna IAM.

Ada kedua EFS spesifik danAWSKunci kondisi lebar yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap kunci di seluruh AWS, lihat Kunci yang Tersedia untuk Syarat dalam Panduan Pengguna IAM. Untuk daftar lengkap kunci kondisi spesifik EFS, lihatKunci kondisi EFS untuk klien.

catatan

Parameteraws:SourceIp AWS-wide kondisi dapat digunakan untuk mengontrol apa host dapat menggunakan tindakan EFS sepertiCreateFileSystem,CreateMountTarget,DeleteMountTarget,DescribeMountTargetSecurityGroups, atauModifyMountTargetSecurityGrouptindakan. Parameteraws:SourceIpKondisi dapat digunakan untuk mengontrol akses NFS ke EFS mount target, tetapi bukan pendekatan yang direkomendasikan karena pertimbangan keamanan. Untuk mengontrol akses ke target pemasangan EFS, lihatMengontrol akses jaringan ke sistem file Amazon EFS untuk klien NFS.