Identity and access management untuk Amazon EFS - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identity and access management untuk Amazon EFS

Akses ke Amazon EFS memerlukan kredensyal yangAWS dapat digunakan untuk mengautentikasi permintaan Anda. Kredensialnya harus memiliki izin untuk mengaksesAWS sumber daya, seperti sistem file Amazon EFS atau instans Amazon EC2. Bagian berikut ini menyediakan detail tentang bagaimana Anda dapat menggunakan Apa itu IAM dan Amazon EFS untuk membantu mengamankan sumber daya Anda dengan mengendalikan siapa yang dapat mengaksesnya.

Autentikasi

Anda dapat mengakses AWS sebagai salah satu jenis identitas berikut:

  • Akun AWSPengguna root — Saat mendaftar keAWS, Anda memberikan alamat email dan kata sandi yang dikaitkan denganAWS akun Anda. Ini adalah penggunaAkun AWS root Anda. Kredensialnya memberikan akses penuh ke semuaAWS sumber daya Anda.

    penting

    Demi alasan keamanan, kami menyarankan Anda menggunakan pengguna root hanya untuk membuat administrator, yang merupakan pengguna IAM dengan izin penuh untuk AndaAkun AWS. Anda kemudian dapat menggunakan administrator ini untuk membuat pengguna IAM lainnya dan peran dengan izin terbatas. Untuk informasi selengkapnya, lihat Praktik Terbaik IAM dan Membuat Pengguna Admin dan Grup dalam Panduan Pengguna IAM.

  • Pengguna IAMPengguna IAM adalah identitas dalam akun AndaAkun AWS yang memiliki izin kustom spesifik (misalnya, izin untuk membuat sistem file di Amazon EFS). Anda dapat menggunakan nama pengguna dan kata sandi IAM untuk masuk untuk mengamankan halamanAWS web seperti AWS Management Console, ForumAWS Diskusi, atau AWS SupportPusat.

     

    Selain nama pengguna dan kata sandi, Anda juga dapat membuat access key untuk setiap pengguna. Anda dapat menggunakan kunci ini ketika mengakses layanan AWS secara terprogram, baik melalui salah satu dari beberapa SDK atau dengan menggunakan AWS Command Line Interface (CLI). Alat SDK dan CLI menggunakan access key untuk menandatangani permintaan Anda secara kriptografis. Jika Anda tidak menggunakan alat AWS, Anda harus menandatangani permintaan tersebut sendiri. Amazon EFS mendukung Tanda Tangan Versi 4, protokol untuk mengautentikasi permintaan API inbound. Untuk informasi selengkapnya tentang melakukan autentikasi permintaan, lihat Proses Penandatanganan Tanda Tangan Versi 4 dalam Referensi Umum AWS.

     

  • IAM roleIAM role adalah identitas IAM yang dapat Anda buat di akun Anda yang memiliki izin spesifik. Peran ini mirip dengan Pengguna IAM, tetapi tidak terkait dengan orang tertentu. IAM role memungkinkan Anda memperoleh access key sementara yang dapat digunakan untuk mengakses layanan dan sumber daya AWS. Peran IAM dengan kredensial sementara berguna dalam situasi berikut:

     

    • Akses pengguna gabungan – Alih-alih membuat pengguna IAM, Anda dapat menggunakan identitas pengguna yang ada dari AWS Directory Service, direktori pengguna korporasi Anda, atau penyedia identitas web. Ini dikenal sebagai pengguna gabungan. AWS menetapkan peran ke pengguna gabungan ketika akses diminta melalui penyedia identitas. Untuk informasi lebih lanjut tentang pengguna gabungan, lihat Pengguna Gabungan dan Peran di Panduan Pengguna IAM.

       

    • Administrasi lintas akun — Anda dapat menggunakan IAM role di akun Anda untuk memberikanAkun AWS izin lain untuk mengelola sumber daya Amazon EFS akun Anda. Contohnya, lihat Tutorial: Delegasikan Akses Di SeberangAkun AWS s Menggunakan Peran IAM di Panduan Pengguna IAM. Anda tidak dapat memasang sistem file Amazon EFS dari seluruh VPC atau akun. Untuk informasi selengkapnya, lihat Mengelola aksesibilitas jaringan sistem file.

       

    • Akses layanan AWS – Anda dapat menggunakan IAM role di akun Anda untuk memberikan izin kepada akun AWS lain untuk mengakses sumber daya akun Anda. Misalnya, Anda dapat membuat peran yang memungkinkan Amazon Redshift untuk mengakses bucket Amazon S3 atas nama Anda dan kemudian memuat data yang tersimpan di bucket ke dalam klaster Amazon Redshift. Untuk informasi selengkapnya, lihat Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan Pengguna IAM.

       

    • Aplikasi yang berjalan di Amazon EC2 — Anda dapat menggunakan IAM role untuk mengelola kredensialnya untuk aplikasi yang berjalan pada instans EC2 dan membuat permintaanAWS API. Menyimpan access key di dalam instans EC2 lebih disarankan. Untuk menugaskan sebuah peran AWS ke instans EC2 dan membuatnya tersedia untuk semua aplikasinya, Anda dapat membuat sebuah profil instans yang dilampirkan ke instans. Profil instans memuat peran dan memungkinkan program yang berjalan di instans EC2 untuk mendapatkan kredensial sementara. Untuk informasi selengkapnya, lihat Menggunakan Peran untuk Aplikasi di Amazon EC2 dalam Panduan Pengguna IAM.

Kontrol akses

Anda dapat memiliki kredensialnya yang valid untuk mengautentikasi permintaan Anda, tetapi kecuali jika Anda memiliki izin, Anda tidak dapat membuat atau mengakses sumber daya Amazon Elastic File System. Misalnya, Anda harus memiliki izin untuk membuat sistem file Amazon EFS.

Bagian berikut ini menjelaskan cara mengelola izin untuk Amazon EFS. Kami menyarankan agar Anda membaca gambaran umum terlebih dahulu.