Bekerja dengan pengguna, grup, dan izin di Tingkat Network File System (NFS) - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan pengguna, grup, dan izin di Tingkat Network File System (NFS)

Setelah membuat sistem file, secara default hanya pengguna root (UID 0) yang telah membaca, menulis, dan mengeksekusi izin. Agar pengguna lain dapat memodifikasi sistem file, pengguna root harus secara eksplisit memberi mereka akses. Anda dapat menggunakan titik akses untuk mengotomatiskan pembuatan direktori yang dapat ditulis oleh pengguna nonroot. Untuk informasi selengkapnya, lihat Bekerja dengan titik akses Amazon EFS.

Objek sistem file Amazon EFS memiliki mode gaya UNIX yang terkait dengannya. Nilai mode ini mendefinisikan izin untuk melakukan tindakan pada objek itu. Pengguna yang akrab dengan sistem gaya UNIX dapat dengan mudah memahami bagaimana perilaku Amazon EFS sehubungan dengan izin ini.

Selain itu, pada sistem gaya UNIX, pengguna dan grup dipetakan ke pengidentifikasi numerik, yang digunakan Amazon EFS untuk mewakili kepemilikan file. Untuk Amazon EFS, objek sistem file (yaitu, file, direktori, dan sebagainya) dimiliki oleh satu pemilik dan satu grup. Amazon EFS menggunakan ID numerik yang dipetakan untuk memeriksa izin saat pengguna mencoba mengakses objek sistem file.

Berikut, Anda dapat menemukan contoh izin dan diskusi tentang pertimbangan izin NFS untuk Amazon EFS.

Contoh kasus dan izin penggunaan sistem file Amazon EFS

Setelah Anda membuat sistem file Amazon EFS dan memasang target untuk sistem file di VPC Anda, Anda dapat memasang sistem file jarak jauh secara lokal pada instans Amazon EC2 Anda. Yangmountperintah dapat me-mount direktori apapun dalam sistem file. Namun, ketika Anda pertama kali membuat sistem file, hanya ada satu direktori root di/.

Berikutmountperintah me-mount direktori root dari sistem file Amazon EFS, yang diidentifikasi oleh nama DNS sistem file, pada/efs-mount-pointdirektori lokal.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

Pengguna root dan grup root memiliki direktori yang dipasang.

Mode izin awal memungkinkan:

  • read-write-executeizin kepada pemilikakar

  • read-executeizin untuk grupakar

  • read-executeizin untuk orang lain

Hanya pengguna root yang dapat memodifikasi direktori ini. Pengguna root juga dapat memberikan izin pengguna lain untuk menulis ke direktori ini, misalnya:

  • Buat subdirektori per pengguna yang dapat ditulis. Untuk step-by-step instruksi, lihatPanduan: Buat Subdirektori Per-Pengguna yang Dapat Ditulisi dan Konfigurasi Penghapusan Otomatis pada Reboot.

  • Izinkan pengguna menulis ke root sistem file Amazon EFS. Pengguna dengan hak akses root dapat memberi pengguna lain akses ke sistem file.

    • Untuk mengubah kepemilikan sistem file Amazon EFSakarpengguna dan grup, gunakan yang berikut:

      $ sudo chown user:group /EFSroot
    • Untuk mengubah izin sistem file menjadi sesuatu yang lebih permisif, gunakan yang berikut ini:

      $ sudo chmod 777 /EFSroot

      Pemberian perintah ini read-write-execute hak istimewa untuk semua pengguna pada semua instans EC2 yang memiliki sistem file yang terpasang.

Izin ID Pengguna dan Grup untuk File dan Direktori Dalam Sistem File

File dan direktori dalam sistem file Amazon EFS mendukung izin baca, tulis, dan eksekusi gaya Unix standar berdasarkan ID pengguna dan ID grup. Ketika klien NFS memasang sistem file EFS tanpa menggunakan titik akses, ID pengguna dan ID grup yang disediakan oleh klien dipercaya. Anda dapat menggunakan titik akses EFS untuk mengganti ID pengguna dan ID grup yang digunakan oleh klien NFS. Saat pengguna mencoba mengakses file dan direktori, Amazon EFS memeriksa ID pengguna dan ID grup mereka untuk memverifikasi bahwa setiap pengguna memiliki izin untuk mengakses objek tersebut. Amazon EFS juga menggunakan ID ini untuk menunjukkan pemilik dan pemilik grup untuk file dan direktori baru yang dibuat pengguna. Amazon EFS tidak memeriksa nama pengguna atau grup — Amazon EFS hanya menggunakan pengenal numerik.

catatan

Ketika Anda membuat pengguna pada instans EC2, Anda dapat menetapkan ID pengguna numerik (UID) dan ID grup (GID) ke pengguna. ID pengguna numerik diatur dalam/etc/passwdfile pada sistem Linux. ID grup numerik berada di/etc/groupberkas. File-file ini menentukan pemetaan antara nama dan ID. Di luar instans EC2, Amazon EFS tidak melakukan otentikasi ID ini, termasuk ID root 0.

Jika pengguna mengakses sistem file Amazon EFS dari dua instans EC2 yang berbeda, tergantung pada apakah UID untuk pengguna sama atau berbeda pada instans yang Anda lihat perilaku yang berbeda, sebagai berikut:

  • Jika ID pengguna sama pada kedua instans EC2, Amazon EFS menganggapnya menunjukkan pengguna yang sama, terlepas dari instans EC2 yang digunakan. Pengalaman pengguna saat mengakses sistem file adalah sama dari kedua instans EC2.

  • Jika ID pengguna tidak sama pada kedua instans EC2, Amazon EFS menganggap pengguna sebagai pengguna yang berbeda. Pengalaman pengguna tidak sama saat mengakses sistem file Amazon EFS dari dua instans EC2 yang berbeda.

  • Jika dua pengguna berbeda pada instans EC2 yang berbeda berbagi ID, Amazon EFS menganggap mereka sebagai pengguna yang sama.

Anda dapat mempertimbangkan untuk mengelola pemetaan ID pengguna di instans EC2 secara konsisten. Pengguna dapat memeriksa ID numerik mereka menggunakanidperintah, seperti yang ditunjukkan berikut.

$ id uid=502(joe) gid=502(joe) groups=502(joe)

Matikan ID Mapper

Utilitas NFS dalam sistem operasi mencakup daemon yang disebut ID Mapper yang mengelola pemetaan antara nama pengguna dan ID. Di Amazon Linux, daemon disebutrpc.idmapddan di Ubuntu disebutidmapd. Ini menerjemahkan ID pengguna dan grup menjadi nama, dan sebaliknya. Namun, Amazon EFS hanya berurusan dengan ID numerik. Kami merekomendasikan agar Anda mematikan proses ini di instans EC2 Anda. Di Amazon Linux, ID mapper biasanya dinonaktifkan, dan jika tidak mengaktifkannya. Untuk mematikan ID mapper, gunakan perintah yang ditunjukkan berikut.

$ service rpcidmapd status $ sudo service rpcidmapd stop

Tidak ada root yang meremas

Secara default, root squashing dinonaktifkan pada sistem file EFS. Amazon EFS berperilaku seperti server Linux NFSno_root_squash. Jika ID pengguna atau grup adalah 0, Amazon EFS memperlakukan pengguna tersebut sebagairootpengguna, dan melewati pemeriksaan izin (memungkinkan akses dan modifikasi ke semua objek sistem file). Root squashing dapat diaktifkan pada koneksi klien saatAWS Identity and Access Management(AWSIAM) kebijakan identitas atau sumber daya tidak mengizinkan akses keClientRootAccesstindakan tindakan. Ketika root squashing diaktifkan, pengguna root dikonversi ke pengguna dengan izin terbatas pada server NFS.

Untuk informasi selengkapnya, lihat Menggunakan IAM untuk mengontrol akses data sistem file dan Panduan: Aktifkan root squashing menggunakan otorisasi IAM untuk klien NFS.

Izin caching

Amazon EFS menyimpan izin file untuk jangka waktu kecil. Akibatnya, mungkin ada jendela singkat di mana pengguna yang aksesnya dicabut baru-baru ini masih dapat mengakses objek itu.

Mengubah kepemilikan objek sistem file

Amazon EFS memberlakukan POSIXchown_restrictedatribut. Ini berarti hanya pengguna root dapat mengubah pemilik objek sistem file. Root atau pemilik pengguna dapat mengubah kelompok pemilik objek sistem file. Namun, kecuali pengguna adalah root, grup hanya dapat diubah menjadi salah satu yang pengguna pemilik adalah anggota dari.

Titik akses EFS

Sesititik aksesmenerapkan pengguna sistem operasi, grup, dan jalur sistem file ke setiap permintaan sistem file yang dibuat menggunakan titik akses. Pengguna dan grup sistem operasi titik akses menimpa informasi identitas apa pun yang disediakan oleh klien NFS. Jalur sistem file dipaparkan ke klien sebagai direktori root titik akses. Pendekatan ini memastikan bahwa setiap aplikasi selalu menggunakan identitas sistem operasi yang benar dan direktori yang benar saat mengakses dataset berbasis file bersama. Aplikasi yang menggunakan titik akses hanya bisa mengakses data di direktori sendiri dan di bawah ini. Untuk informasi selengkapnya tentang titik akses, lihatBekerja dengan titik akses Amazon EFS.