Menggunakan IAM untuk mengontrol akses data sistem file - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan IAM untuk mengontrol akses data sistem file

Anda dapat menggunakan kebijakan identitas IAM dan kebijakan sumber daya untuk mengontrol akses klien ke sumber daya Amazon EFS dengan cara yang dapat diskalakan dan dioptimalkan untuk lingkungan cloud. Menggunakan IAM, Anda dapat mengizinkan klien untuk melakukan tindakan tertentu pada sistem file, termasuk akses read-only, write, dan root. Izin “memungkinkan” pada suatu tindakanbaikkebijakan identitas IAMataukebijakan sumber daya sistem file memungkinkan akses untuk tindakan itu. Izin tidak perlu diberikankedua-duanyaidentitasdankebijakan sumber daya.

NFS klien dapat mengidentifikasi diri mereka menggunakan peran IAM ketika menghubungkan ke sistem file EFS. Ketika klien terhubung ke sistem file, Amazon EFS mengevaluasi kebijakan sumber daya IAM sistem file, yang disebut kebijakan sistem file, bersama dengan kebijakan IAM berbasis identitas apa pun untuk menentukan izin akses sistem file yang sesuai untuk diberikan.

Bila Anda menggunakan otorisasi IAM untuk klien NFS, koneksi klien dan keputusan otorisasi IAM dicatatAWS CloudTrail. Untuk informasi selengkapnya tentang cara mencatat panggilan Amazon EFS API dengan CloudTrail, lihatMencatat Panggilan API Amazon EFSAWS CloudTrail.

penting

Anda harus menggunakan helper pemasangan EFS untuk memasang sistem file Amazon EFS Anda agar dapat menggunakan otorisasi IAM untuk mengontrol akses klien. Untuk informasi selengkapnya, lihat Pemasangan dengan otorisasi IAM.

Kebijakan sistem file EFS

Kebijakan sistem file EFS default tidak menggunakan IAM untuk mengotentikasi, dan memberikan akses penuh ke klien anonim yang dapat terhubung ke sistem file menggunakan target mount. Kebijakan default berlaku setiap kali kebijakan sistem file yang dikonfigurasi pengguna tidak berlaku, termasuk pada pembuatan sistem file. Setiap kali kebijakan sistem file default berlaku, aDescribeFileSystemPolicyOperasi API mengembalikanPolicyNotFoundtanggapan.

Tindakan EFS untuk klien

Anda dapat menentukan tindakan berikut untuk klien yang mengakses sistem file menggunakan kebijakan sistem file.

Action Deskripsi

elasticfilesystem:ClientMount

Menyediakan akses hanya-baca ke sistem file.

elasticfilesystem:ClientWrite

Menyediakan izin tulis pada sistem file.

elasticfilesystem:ClientRootAccess

Menyediakan penggunaan pengguna root saat mengakses sistem file.

Kunci kondisi EFS untuk klien

Untuk menyatakan syarat, Anda menggunakan kunci kondisi yang telah ditentukan sebelumnya. Amazon EFS memiliki kunci kondisi standar berikut untuk klien NFS.

Kunci Kondisi EFS Deskripsi Operator
aws:SecureTransport

Gunakan tombol ini untuk meminta klien menggunakan TLS saat terhubung ke sistem file EFS.

Boolean

elasticfilesystem:AccessPointArn ARN dari titik akses EFS yang menghubungkan klien.
elasticfilesystem:AccessedViaMountTarget Gunakan tombol ini untuk mencegah akses ke sistem file EFS oleh klien yang tidak menggunakan target pemasangan sistem file.

Boolean

Contoh kebijakan sistem file

Pada bagian ini, Anda dapat menemukan contoh kebijakan sistem file yang memberikan atau menolak izin untuk berbagai tindakan Amazon EFS. Kebijakan sistem file Amazon EFS memiliki batas karakter 20.000. Untuk informasi tentang elemen kebijakan berbasis sumber daya, lihatMenentukan elemen kebijakan: tindakan, efek, dan prinsip.

penting

Jika Anda memberikan izin kepada pengguna IAM individu atau peran dalam kebijakan sistem file, jangan menghapus atau membuat ulang pengguna atau peran tersebut saat kebijakan tersebut berlaku pada sistem file. Jika ini terjadi, pengguna atau peran tersebut secara efektif terkunci dari sistem file dan tidak akan dapat mengaksesnya. Untuk informasi selengkapnya, lihatMenentukan prinsipaldiPanduan Pengguna IAM.

Untuk informasi tentang cara membuat kebijakan sistem file, lihatPembuatan kebijakan sistem file.

Contoh 1: Memberikan akses baca dan tulis keAWSperan

Kebijakan sistem file EFS ini memiliki karakteristik sebagai berikut:

  • Efeknya adalahAllow.

  • Kepala sekolah diatur ke Testing_Role diAkun AWS.

  • Tindakan diatur keClientMount(baca)ClientWrite.

  • Kondisi pemberian izin diatur keAccessedViaMountTarget.

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientRootAccess", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd" } ] }

Contoh 2: Memberikan akses hanya-baca

Kebijakan sistem berkas berikut hanya memberikanClientMount, atau hanya-baca, izin untuk EfsReadOnly IAM role.

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

Untuk mempelajari cara menetapkan kebijakan sistem file tambahan, termasuk menolak akses root ke semua prinsip IAM, kecuali untuk workstation manajemen tertentu, lihatPanduan: Aktifkan root squashing menggunakan otorisasi IAM untuk klien NFS.

Contoh 3: Berikan akses ke Titik Akses EFS

Anda menggunakan kebijakan akses EFS untuk memberikan klien NFS dengan tampilan khusus aplikasi ke dataset berbasis file bersama pada sistem file EFS. Anda memberikan izin titik akses pada sistem file menggunakan kebijakan sistem file. Contoh kebijakan file ini menggunakan elemen kondisi untuk memberikan titik akses tertentu yang diidentifikasi oleh ARN akses penuh ke sistem file. Untuk informasi lebih lanjut tentang cara menggunakan titik akses EFS, lihatBekerja dengan titik akses Amazon EFS.

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }