Blocco dell'accesso pubblico ai EFS file system - Amazon Elastic File System
Blocco dell'accesso pubblico con AWS Transfer FamilySignificato di "pubblico"

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Blocco dell'accesso pubblico ai EFS file system

La funzione di EFS blocco dell'accesso pubblico di Amazon fornisce impostazioni per aiutarti a gestire l'accesso pubblico ai EFS file system. Per impostazione predefinita, i nuovi EFS file system non consentono l'accesso pubblico. Tuttavia, è possibile modificare le policy di file system per consentire l'accesso pubblico.

Importante

L'attivazione dell'accesso Block Public Access aiuta a proteggere le risorse impedendo che l'accesso pubblico venga concesso tramite le politiche relative alle risorse direttamente collegate al file system. Oltre ad abilitare Block Public Access, esamina attentamente le seguenti politiche per confermare che non garantiscano l'accesso pubblico:

  • Politiche basate sull'identità allegate ai AWS principali associati (ad esempio, i ruoli) IAM

  • Politiche basate sulle risorse allegate alle AWS risorse associate (ad esempio, () chiavi)AWS Key Management Service KMS

Blocco dell'accesso pubblico con AWS Transfer Family

Quando usi Amazon EFS con AWS Transfer Family, le richieste di accesso al file system ricevute da un server Transfer Family di proprietà di un account diverso da quello del file system vengono bloccate se il file system consente l'accesso pubblico. Amazon EFS valuta le IAM politiche del file system e, se la policy è pubblica, blocca la richiesta. Per consentire AWS Transfer Family l'accesso al tuo file system, aggiorna la politica del file system in modo che non sia considerata pubblica.

Nota

L'utilizzo di Transfer Family with Amazon EFS è disabilitato per impostazione predefinita per Account AWS i EFS file system con politiche che consentono l'accesso pubblico creati prima del 6 gennaio 2021. Per abilitare l'utilizzo di Transfer Family per accedere al file system, contatta l' AWS assistenza.

Significato di "pubblico"

Nel valutare se un file system consente l'accesso pubblico, Amazon EFS presume che la policy del file system sia pubblica. Quindi valuta la policy del file system per determinare se si qualifica come non pubblica. Per essere considerata non pubblica, la policy di file system deve concedere l'accesso solo a valori fissi (valori che non contengono caratteri jolly) di uno o più degli elementi seguenti:

  • Un insieme di Classless Inter-Domain Routings (), che utilizzano. CIDRs aws:SourceIp Per ulteriori informazioni suCIDR, vedere RFC4632 sul sito Web dell'Editor. RFC

  • Un AWS responsabile, un utente, un ruolo o un responsabile del servizio (ad esempio,aws:PrincipalOrgID)

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

In queste regole le policy di esempio seguenti sono considerate pubbliche.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

È possibile rendere non pubblica questa politica del file system utilizzando la chiave EFS condition elasticfilesystem:AccessedViaMountTarget impostata su true. È possibile utilizzare elasticfilesystem:AccessedViaMountTarget per consentire le EFS azioni specificate ai client che accedono al EFS file system utilizzando una destinazione di montaggio del file system. La seguente policy non pubblica utilizza la chiave elasticfilesystem:AccessedViaMountTarget condizionale impostata su true.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

Per ulteriori informazioni sui codici di EFS condizione di Amazon, consultaEFSchiavi di condizione per i clienti. Per ulteriori informazioni sulla creazione di policy di file system, consulta Creazione di policy del file system.