Menggunakan IAM untuk menegakkan pembuatan sistem file terenkripsi - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan IAM untuk menegakkan pembuatan sistem file terenkripsi

Anda dapat membuatAWS Identity and Access Management(IAM) kebijakan berbasis identitas untuk mengontrol apakah pengguna dapat membuat sistem file Amazon EFS yang dienkripsi saat istirahat. Kunci syarat Booleanelasticfilesystem:Encryptedmenentukan jenis sistem file, terenkripsi atau tidak terenkripsi, yang menerapkan kebijakan tersebut. Anda menggunakan kunci kondisi denganelasticfilesystem:CreateFileSystemtindakan dan efek kebijakan, mengizinkan atau menolak, untuk membuat kebijakan untuk membuat sistem file terenkripsi atau tidak terenkripsi.

Misalnya, kebijakan IAM yang secara eksplisitmemungkinkanpengguna untuk membuat hanya dienkripsi sistem file EFS menggunakan kombinasi berikut efek, tindakan, dan kondisi:

  • ParameterEffectadalahAllow.

  • ParameterActionadalahelasticfilesystem:CreateFileSystem.

  • ParameterCondition elasticfilesystem:EncryptedadalahTrue.

Contoh berikut menggambarkan kebijakan berbasis identitas IAM yang mengotorisasi prinsipal untuk membuat hanya sistem file terenkripsi.

{ "Statement": [ { "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition": { "Bool": { "elasticfilesystem:Encrypted": "true" } }, "Resource": "*" } ] }

Jika kebijakan ini dilampirkan ke pengguna yang mencoba membuat sistem file yang tidak terenkripsi, permintaan tersebut gagal. Pengguna melihat pesan yang mirip dengan pesan berikut ini, apakah mereka menggunakan pesanAWS Management Console, yangAWS CLI, atauAWSAPI atau SDK:

User: arn:aws:iam::111122223333:user/username is not authorized to perform: elasticfilesystem:CreateFileSystem on the specified resource.

Kebijakan IAM yang secara eksplisitmemungkinkanmembuat hanya sistem file EFS yang tidak terenkripsi dapat menggunakan kombinasi efek, tindakan, dan kondisi berikut:

  • ParameterEffectadalahAllow.

  • ParameterActionadalahelasticfilesystem:CreateFileSystem.

  • ParameterCondition elasticfilesystem:EncryptedadalahFalse.

Contoh berikut menggambarkan kebijakan berbasis identitas IAM yang mengotorisasi prinsipal untuk membuat hanya sistem file yang tidak terenkripsi.

{ "Statement": [ { "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition": { "Bool": { "elasticfilesystem:Encrypted": "false" } }, "Resource": "*" } ] }

Jika kebijakan ini dilampirkan ke pengguna yang mencoba membuat sistem file terenkripsi, permintaan tersebut gagal. Pengguna melihat pesan yang mirip dengan pesan berikut ini, apakah mereka menggunakan pesanAWS Management Console, yangAWS CLI, atauAWSAPI atau SDK:

User: arn:aws:iam::111122223333:user/username is not authorized to perform: elasticfilesystem:CreateFileSystem on the specified resource.

Anda juga dapat menggunakan kebijakan seperti contoh sebelumnya dalam sebuahAWS Organizationskebijakan kontrol layanan (SCP) untuk menegakkan pembuatan sistem file Amazon EFS terenkripsi untuk semuaAkun AWSS di organisasi Anda. Untuk informasi lebih lanjut tentang kebijakan kontrol layanan diAWS Organizations, lihatKebijakan kontrol layanandiAWS OrganizationsPanduan Pengguna.

Buat kebijakan IAM yang memberi wewenang kepada pengguna untuk membuat hanya sistem file efs terenkripsi

Anda dapat membuat kebijakan berbasis identitas IAM yang mengizinkan pengguna untuk membuat hanya sistem file Amazon EFS terenkripsi menggunakan konsol,AWS CLI, dan API. Prosedur berikut menjelaskan cara membuat kebijakan tersebut menggunakan konsol IAM, dan kemudian menerapkan kebijakan tersebut ke pengguna di akun Anda.

Untuk membuat kebijakan IAM untuk menegakkan pembuatan sistem file EFS terenkripsi

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, di bawahManajemen akses, pilihKebijakan.

  3. PilihMembuat kebijakanuntuk menampilkanMembuat kebijakanhalaman.

  4. Masukkan informasi berikut menggunakanEditor visual:

    • UntukLayanan, pilihEFS.

    • UntukTindakan, masukkancreatedi kolom pencarian, dan kemudian pilihCreateFileSystem.

    • UntukKondisi permintaan, pilihDienkripsi.

  5. PilihKebijakan tinjauanuntuk menampilkanKebijakan tinjauanhalaman.

  6. BerikanNamadanDeskripsiuntuk kebijakan. Verifikasi ringkasan kebijakan, termasukDienkripsikondisi permintaan. PilihMembuat kebijakanuntuk membuat kebijakan.

Untuk menerapkan kebijakan ke pengguna di akun Anda

  1. Di konsol IAM, di bawahManajemen akses, pilihPengguna.

  2. Pilih kebijakan yang ingin Anda terapkan.

  3. PilihTambahkan izinuntuk menampilkanTambahkan izinhalaman.

  4. Pilih Lampirkan kebijakan yang sudah ada secara langsung.

  5. Masukkan nama kebijakan EFS yang Anda buat dalam prosedur sebelumnya.

  6. Pilih dan perluas kebijakan. Kemudian pilih{} JSONuntuk memverifikasi konten kebijakan. Seharusnya terlihat seperti kebijakan JSON berikut.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition":{ "Bool": { "elasticfilesystem:Encrypted": "true" } }, "Resource": "*" } ] }
  7. Pilih Berikutnya: Peninjauan.

  8. PilihTambahkan izinuntuk menerapkan kebijakan kepada pengguna. Pengguna ini sekarang hanya dapat membuat sistem file Amazon EFS yang dienkripsi saat istirahat.