Panduan: Aktifkan root squashing menggunakan otorisasi IAM untuk klien NFS - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Panduan: Aktifkan root squashing menggunakan otorisasi IAM untuk klien NFS

Dalam panduan ini, Anda mengonfigurasi Amazon EFS untuk mencegah akses root ke sistem file Amazon EFS Anda untuk semuaAWSprinsipal kecuali untuk workstation manajemen tunggal. Anda melakukan ini dengan mengkonfigurasiAWS Identity and Access ManagementOtorisasi (IAM) untuk klien Network File System (NFS). Untuk informasi selengkapnya tentang otorisasi IAM untuk klien NFS di EFS, lihatMenggunakan IAM untuk mengontrol akses data sistem file.

Untuk melakukan hal ini memerlukan konfigurasi dua kebijakan izin IAM, sebagai berikut:

  • Buat kebijakan sistem file EFS yang secara eksplisit memungkinkan akses baca dan tulis ke sistem file, dan secara implisit menolak akses root.

  • Tetapkan identitas IAM ke workstation manajemen Amazon EC2 yang memerlukan akses root ke sistem file dengan menggunakan profil instans Amazon EC2. Untuk informasi selengkapnya tentang profil instans Amazon EC2, lihatMenggunakan Profil Instansdi dalamAWS Identity and Access ManagementPanduan Pengguna.

  • MenetapkanAmazonElasticFileSystemClientFullAccess AWSkebijakan terkelola untuk IAM role manajemen. Untuk informasi lebih lanjut tentangAWSkebijakan terkelola untuk EFS, lihatAWSkebijakan terkelola (standar) untuk Amazon EFS.

Untuk mengaktifkan root squashing menggunakan otorisasi IAM untuk klien NFS, gunakan prosedur berikut.

Untuk mencegah akses root ke sistem file

  1. Buka konsol Amazon Elastic File System di https://console.aws.amazon.com/efs/.

  2. PilihSistem File.

  3. PadaSistem fileHalaman, pilih sistem file yang ingin Anda aktifkan root squashing di.

  4. Pada halaman detail sistem file, pilihKebijakan sistem file, dan kemudian pilihedit. ParameterKebijakan sistem fileHalaman akan muncul.

    
          Halaman kebijakan sistem file untuk mengedit dan menyimpan kebijakan sistem file.
  5. PilihMencegah akses root secara default*di bawahOpsi kebijakan. Objek kebijakan JSON muncul diEditor kebijakan.

  6. PilihSimpanuntuk menyimpan kebijakan sistem file.

Klien yang tidak anonim bisa mendapatkan akses root ke sistem file melalui kebijakan berbasis identitas. Ketika Anda melampirkanAmazonElasticFileSystemClientFullAccesskebijakan yang dikelola untuk peran workstation, IAM memberikan akses root ke workstation berdasarkan kebijakan identitasnya.

Untuk mengaktifkan akses root dari workstation manajemen

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Buat peran untuk panggilan Amazon EC2EFS-client-root-access. IAM membuat profil instans dengan nama yang sama dengan peran EC2 yang Anda buat.

  3. MenetapkanAWSkebijakan terkelolaAmazonElasticFileSystemClientFullAccesske peran EC2 yang Anda buat. Isi kebijakan ini ditampilkan sebagai berikut.

    { "Version”: "2012-10-17", "Statement": [ { "Resource": "*", "Effect": "Allow", "Action": "elasticfilesystem:Client*" } ], "Condition": {} }
  4. Lampirkan profil instans ke instans EC2 yang Anda gunakan sebagai workstation manajemen, seperti yang dijelaskan berikut. Untuk informasi selengkapnya, lihatPenyematan Peran IAM ke Instansdi dalamPanduan Pengguna Amazon EC2 untuk Instans Linux.

    1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

    2. Di panel navigasi, pilih Instances (Instans).

    3. Pilih instans. UntukTindakan, PilihPengaturan Instans, dan kemudian pilihLampirkan/Ganti peran IAM.

    4. Pilih IAM role yang Anda buat di langkah pertama,EFS-client-root-access, dan pilihapply.

  5. Instal helper mount EFS di workstation manajemen. Untuk informasi lebih lanjut tentang EFS mount helper dan amazon-efs-utils packageMenggunakan amazon-efs-utils Alat.

  6. Pasang sistem file EFS pada workstation manajemen dengan menggunakan perintah berikut denganiamopsi pemasangan.

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Anda dapat mengonfigurasi instans Amazon EC2 untuk memasang sistem file secara otomatis dengan otorisasi IAM. Untuk informasi selengkapnya tentang pemasangan sistem file EFS dengan otorisasi IAM, lihatPemasangan dengan otorisasi IAM.