Menggunakan AWS Transfer Family untuk mengakses file di sistem file Amazon EFS Anda - Amazon Elastic File System
Prasyarat untuk digunakan dengan Amazon EFS AWS Transfer FamilyMengonfigurasi sistem file Amazon EFS Anda agar berfungsi AWS Transfer Family

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Transfer Family untuk mengakses file di sistem file Amazon EFS Anda

AWS Transfer Familyadalah AWS layanan terkelola penuh yang dapat Anda gunakan untuk mentransfer file masuk dan keluar dari sistem file Amazon EFS melalui protokol berikut:

  • Protokol Transfer File Secure Shell (SSH) (SFTP) () AWS Transfer for SFTP

  • Protokol Transfer File Aman (FTPS) (AWS Transfer for FTPS)

  • Protokol Transfer File (FTP) (AWS Transfer for FTP)

Menggunakan Transfer Family, Anda dapat dengan aman mengaktifkan akses pihak ketiga seperti vendor, mitra, atau pelanggan Anda ke file Anda melalui protokol yang didukung secara global, tanpa perlu mengelola infrastruktur apa pun. Selain itu, Anda sekarang dapat dengan mudah mengakses sistem file EFS Anda dari lingkungan Windows, macOS, dan Linux menggunakan klien SFTP, FTPS, dan FTP. Ini membantu memperluas aksesibilitas data Anda di luar klien NFS dan titik akses, kepada pengguna di berbagai lingkungan.

Menggunakan Transfer Family untuk mentransfer data dalam sistem file Amazon EFS diperhitungkan dengan cara yang sama seperti penggunaan klien lainnya. Untuk informasi selengkapnya, silakan lihat Mode throughput dan Kuota dan batas Amazon EFS.

Untuk mempelajari selengkapnyaAWS Transfer Family, lihat Panduan AWS Transfer Family Pengguna.

catatan

Menggunakan Transfer Family dengan Amazon EFS dinonaktifkan secara default untuk Akun AWS s yang memiliki sistem file Amazon EFS dengan kebijakan yang memungkinkan akses publik yang dibuat sebelum 6 Januari 2021. Untuk mengaktifkan penggunaan Transfer Family untuk mengakses sistem file Anda, hubungiAWS Support.

Prasyarat untuk digunakan dengan Amazon EFS AWS Transfer Family

Untuk menggunakan Transfer Family untuk mengakses file sistem file Amazon EFS Anda, konfigurasi Anda harus memenuhi ketentuan berikut:

  • Server Transfer Family dan sistem file Amazon EFS Anda berada di tempat yang samaWilayah AWS.

  • Kebijakan IAM dikonfigurasi untuk mengaktifkan akses ke peran IAM yang digunakan oleh Transfer Family. Untuk informasi selengkapnya, lihat Membuat peran dan kebijakan IAM di Panduan AWS Transfer Family Pengguna.

  • (Opsional) Jika server Transfer Family dimiliki oleh akun lain, aktifkan akses lintas akun.

Mengonfigurasi sistem file Amazon EFS Anda agar berfungsi AWS Transfer Family

Mengonfigurasi sistem file Amazon EFS agar berfungsi dengan Transfer Family memerlukan langkah-langkah berikut:

  • Langkah 1. Dapatkan daftar ID POSIX yang dialokasikan untuk pengguna Transfer Family.

  • Langkah 2. Pastikan direktori sistem file Anda dapat diakses oleh pengguna Transfer Family dengan menggunakan ID POSIX yang dialokasikan untuk pengguna Transfer Family.

  • Langkah 3. Konfigurasikan IAM untuk mengaktifkan akses ke peran IAM yang digunakan oleh Transfer Family.

Mengatur izin berkas dan direktori untuk pengguna Transfer Family

Pastikan bahwa pengguna Transfer Family memiliki akses ke file dan direktori yang diperlukan pada sistem file EFS Anda. Tetapkan izin akses ke direktori menggunakan daftar ID POSIX yang dialokasikan untuk pengguna Transfer Family. Dalam contoh ini, pengguna membuat direktori bernama transferFam di bawah titik pemasangan EFS. Membuat direktori adalah opsional, tergantung pada kasus penggunaan Anda. Jika perlu, Anda dapat memilih nama dan lokasinya di sistem file EFS.

Untuk menetapkan izin file dan direktori ke pengguna POSIX untuk Transfer Family

  1. Connect ke instans Amazon EC2 Anda. Amazon EFS hanya mendukung pemasangan dengan instans EC2 berbasis Linux.

  2. Pasang sistem file EFS Anda jika belum dipasang pada instans EC2. Untuk informasi selengkapnya, lihat Memasang sistem file EFS.

  3. Contoh berikut membuat direktori pada sistem file EFS, dan mengubah grupnya menjadi ID grup POSIX untuk pengguna Transfer Family, yaitu 1101 dalam contoh ini.

    1. Buat direktori efs/transferFam menggunakan perintah berikut. Dalam praktiknya, Anda dapat menggunakan nama dan lokasi pada sistem file yang Anda pilih.

      [ec2-user@ip-192-0-2-0 ~]$ ls 
efs  efs-mount-point  efs-mount-point2
[ec2-user@ip-192-0-2-0 ~]$ ls efs
[ec2-user@ip-192-0-2-0 ~]$ sudo mkdir efs/transferFam
[ec2-user@ip-192-0-2-0 ~]$ ls -l efs
total 0
drwxr-xr-x 2 root root 6 Jan  6 15:58 transferFam

    2. Gunakan perintah berikut untuk mengubah grup ke POSIX GID yang ditetapkan untuk pengguna Transfer Family. efs/transferFam

      [ec2-user@ip-192-0-2-0 ~]$ sudo chown :1101 efs/transferFam/

    3. Konfirmasikan perubahan.

      [ec2-user@ip-192-0-2-0 ~]$ ls -l efs
total 0
drwxr-xr-x 2 root 1101 6 Jan  6 15:58 transferFam

Aktifkan akses ke peran IAM yang digunakan oleh Transfer Family

Di Transfer Family, Anda membuat kebijakan IAM berbasis sumber daya dan peran IAM yang menentukan akses pengguna ke sistem file EFS. Untuk informasi selengkapnya, lihat Membuat peran dan kebijakan IAM di Panduan AWS Transfer Family Pengguna. Anda harus memberikan akses peran Transfer Family IAM ke sistem file EFS Anda menggunakan kebijakan identitas IAM atau kebijakan sistem file.

Berikut ini adalah contoh kebijakan sistem file yang memberikan ClientMount (baca) dan ClientWrite akses ke peran IAM. EFS-role-for-transfer

{
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-8698b356-4212-4d30-901e-ad2030b57762",
    "Statement": [
        {
            "Sid": "Grant-transfer-role-access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EFS-role-for-transfer"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ]
        }
    ]
}

Untuk informasi selengkapnya tentang membuat kebijakan sistem file, lihatMembuat kebijakan sistem file. Untuk informasi selengkapnya tentang penggunaan kebijakan IAM berbasis identitas untuk mengelola akses ke sumber daya EFS, lihat. Kebijakan berbasis identitas untuk Amazon EFS

Mengkonfigurasi akses lintas akun untuk Transfer Family

Jika server Transfer Family yang digunakan untuk mengakses sistem file Anda milik yang berbedaAkun AWS, Anda harus memberikan akses akun tersebut ke sistem file Anda. Selain itu, kebijakan sistem file Anda harus bersifat non-publik. Untuk informasi selengkapnya tentang memblokir akses publik ke sistem file Anda, lihatMemblokir akses publik.

Anda dapat memberikan Akun AWS akses berbeda ke sistem file Anda dalam kebijakan sistem file. Di konsol Amazon EFS, gunakan bagian Berikan izin tambahan pada editor kebijakan sistem File untuk menentukan Akun AWS dan tingkat akses sistem file yang Anda berikan. Untuk informasi selengkapnya tentang membuat atau mengedit kebijakan sistem file, lihatMembuat kebijakan sistem file.

Anda dapat menentukan akun menggunakan ID akun atau akun Nama Sumber Daya Amazon (ARN). Untuk informasi selengkapnya tentang ARN, lihat ARN IAM di Panduan Pengguna IAM.

Contoh berikut adalah kebijakan sistem file non-publik yang memberikan akses lintas akun ke sistem file. Ini memiliki dua pernyataan berikut:

  1. Pernyataan pertama,NFS-client-read-write-via-fsmt, memberikan hak baca, tulis, dan root kepada klien NFS yang mengakses sistem file menggunakan target pemasangan sistem file.

  2. Pernyataan kedua,Grant-cross-account-access, hanya memberikan hak baca dan tulis ke Akun AWS 111122223333, yang merupakan akun yang memiliki server Transfer Family yang memerlukan akses ke sistem file EFS ini di akun Anda.

{    
    "Statement": [
        {
            "Sid": "NFS-client-read-write-via-fsmt",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientRootAccess",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        },
        {
            "Sid": "Grant-cross-account-access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ]
        }
    ]
}

Kebijakan sistem berkas berikut menambahkan pernyataan yang memberikan akses ke peran IAM yang digunakan oleh Transfer Family.

{
    "Statement": [
        {
            "Sid": "NFS-client-read-write-via-fsmt",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientRootAccess",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        },
        {
            "Sid": "Grant-cross-account-access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ]
        },
        {
            "Sid": "Grant-transfer-role-access",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EFS-role-for-transfer"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ]
        }
    ]
}