Creazione di un access point Montaggio con punti di accesso Applicazione dell'identità utente Applicazione di una directory principale Utilizzo dei punti di accesso nelle policy IAM

Utilizzo dei punti di accesso Amazon EFS

I punti di accesso Amazon EFS sono punti di accesso specifici dell'applicazione in un file system EFS che semplificano la gestione dell'accesso dell'applicazione ai set di dati condivisi. I punti di accesso possono applicare un'identità utente, inclusi i gruppi dell'utente POSIX, per tutte le richieste al file system effettuate tramite il punto di accesso. I punti di accesso possono inoltre applicare una directory radice diversa per il file system in modo che i client possano accedere solo ai dati nella directory specificata o nelle sue sottodirectory.

È possibile utilizzare politicheAWS Identity and Access Management (IAM) per imporre che applicazioni specifiche utilizzino un punto di accesso specifico. Combinando le policy IAM con i punti di accesso, puoi fornire facilmente accesso sicuro a set di dati specifici per le applicazioni.

Nota

È necessario creare almeno un target di montaggio sul file system EFS per utilizzare i punti di accesso.

Per ulteriori informazioni sulla creazione di un punto di accesso, consultare Creazione ed eliminazione dei punti di accesso.

Argomenti

Creazione di un access point
Montaggio di un file system utilizzando un punto di accesso
Far rispettare l'identità di un utente utilizzando un punto di accesso
Applicazione di una directory principale con un punto di accesso
Utilizzo dei punti di accesso nelle policy IAM

Creazione di un access point

Puoi creare punti di accesso per un file system Amazon EFS esistente utilizzando l'AWS Management ConsoleAPI,AWS Command Line Interface (AWS CLI) e EFS. Un file system Amazon EFS può avere un massimo massimo di essi access point point. Non è possibile modificare un punto di accesso esistente dopo averlo creato.

Per step-by-step le procedure per creare un punto di accesso, vedereCreazione ed eliminazione dei punti di accesso.

Montaggio di un file system utilizzando un punto di accesso

Utilizza l'assistente per il montaggio di EFS durante il montaggio di un file system mediante un punto di accesso. Nel comando di montaggio, includere l'ID del file system, l'ID del punto di accesso e l'opzione di montaggio tls, mostrata nell'esempio seguente.


$ mount -t efs -o tls,iam,accesspoint=fsap-abcdef0123456789a fs-abc0123def456789a: /localmountpoint

Per ulteriori informazioni sul montaggio di file system mediante un punto di accesso, consulta Montaggio con punti di accesso EFS.

Far rispettare l'identità di un utente utilizzando un punto di accesso

Puoi utilizzare un punto di accesso per applicare le informazioni relative a utente e gruppo per tutte le richieste di file system effettuate tramite il punto di accesso. Per abilitare questa caratteristica, è necessario specificare l'identità del sistema operativo da applicare durante la creazione del punto di accesso.

Come parte di questo, fornire quanto segue:

ID utente: l'ID utente POSIX numerico per l'utente.
ID gruppo: l'ID numerico del gruppo POSIX per l'utente.
ID di gruppo secondari: un elenco opzionale di ID di gruppo secondari.

Quando l'applicazione degli utenti è abilitata, Amazon EFS sostituisce gli ID utente e di gruppo del client NFS con l'identità configurata sul punto di accesso per tutte le operazioni del file system. L'imposizione utente ha anche i seguenti effetti:

Il proprietario e il gruppo per i nuovi file e directory vengono impostati sull'ID utente e sull'ID gruppo del punto di accesso.
EFS considera l'ID utente, l'ID gruppo e gli ID gruppi secondari del punto di accesso durante la valutazione delle autorizzazioni del file system. EFS ignora gli ID del client NFS.

Importante

L'applicazione di un'identità utente è soggetta all'autorizzazione IAM ClientRootAccess.

Ad esempio, in alcuni casi è possibile configurare l'ID utente del punto di accesso, l'ID del gruppo o entrambi in modo che siano impostati su “radice” (ovvero impostando UID, GID o entrambi su 0). In questi casi, è necessario concedere l'autorizzazione ClientRootAccess al client NFS.

Applicazione di una directory principale con un punto di accesso

Puoi utilizzare un punto di accesso per sovrascrivere la directory radice di un file system. Quando applichi una directory radice, il client NFS che utilizza il punto di accesso usa la directory radice configurata sul punto di accesso anziché la directory radice del file system.

Abilita questa caratteristica impostando l'attributo Path del punto di accesso durante la creazione di un punto di accesso. L'attributo Path è il percorso completo della directory radice del file system per tutte le richieste di file system effettuate attraverso questo punto di accesso. Il percorso completo non può superare i 100 caratteri. Può includere fino a quattro sottodirectory.

Quando specifichi una directory radice su un punto di accesso, questa diventa la directory radice del file system per il client NFS che monta il punto di accesso. Ad esempio, supponiamo che la directory principale del punto di accesso sia /data. In questo caso, il montaggio fs-12345678:/ utilizzando il punto di accesso ha lo stesso effetto del montaggio fs-12345678:/data senza utilizzare il punto di accesso.

Quando specifichi una directory root nel punto di accesso, assicurati che le autorizzazioni della directory siano configurate per consentire all'utente del punto di accesso di eseguire il montaggio correttamente il file system. In particolare, assicurati che il bit di esecuzione sia impostato per l'utente o il gruppo del punto di accesso o per tutti. Ad esempio, il valore di autorizzazione della directory 755 consente all'utente proprietario della directory di elencare i file, creare file ed eseguire il montaggio e a tutti gli altri utenti di elencare i file ed eseguire il montaggio.

Creazione della directory principale per un punto di accesso

Se nel file system non esiste un percorso di directory principale per un punto di accesso, Amazon EFS crea automaticamente tale directory radice con la proprietà e le autorizzazioni specificate. Amazon EFS non creerà la directory principale se non si specificano la proprietà e le autorizzazioni della directory al momento della creazione. Con questo approccio è possibile effettuare il provisioning dell'accesso al file system per un utente o un'applicazione specifici senza montare il file system da un host Linux. Per creare una directory principale, è necessario configurare la proprietà e l'autorizzazione della directory principale utilizzando i seguenti attributi durante la creazione di un punto di accesso:

OwnerUid— L'ID utente POSIX numerico da utilizzare come proprietario della directory principale.
OwnerGiD— L'ID numerico del gruppo POSIX da utilizzare come gruppo proprietario della directory principale.
Autorizzazioni: la modalità Unix della directory. Una configurazione comune è 755. Assicurati che il bit di esecuzione sia impostato per l'utente del punto di accesso in modo che sia in grado di eseguire il montaggio. Questa configurazione dà al proprietario della directory il permesso di inserire, elencare e scrivere nuovi file nella directory. Dà a tutti gli altri utenti il permesso di inserire ed elencare i file. Per ulteriori informazioni sull’utilizzo delle modalità file e directory Unix, consulta Utilizzo di utenti, gruppi e autorizzazioni a livello di Network File System (NFS).

Amazon EFS crea una directory principale del OwnUid punto di accesso solo se vengono specificati una directory. Se non fornisci queste informazioni, Amazon EFS non crea la directory principale. Se la directory principale non esiste, i tentativi di montaggio utilizzando il punto di accesso avranno esito negativo.

Quando si installa un file system con un punto di accesso, la directory principale del punto di accesso viene creata se la directory non esiste già, a condizione che la directory principale OwnerUid e le autorizzazioni siano state specificate al momento della creazione del punto di accesso. Se la directory principale del punto di accesso esiste già prima del montaggio, le autorizzazioni esistenti non vengono sovrascritte dal punto di accesso. Se elimini la directory radice, questa verrà ricreata da EFS la prossima volta che il file system viene montato utilizzando il punto di accesso.

Nota

Se non specifichi la proprietà e autorizzazioni per la directory principale del punto di accesso point, Amazon EFS non creerà la directory principale. Tutti i tentativi di montaggio del punto di accesso avranno esito negativo.

Modello di sicurezza per le directory principali dei punti di accesso

Quando è attiva l'override della directory principale, Amazon EFS si comporta come un server NFS Linux con l'no_subtree_checkopzione abilitata.

Nel protocollo NFS, i server generano handle di file utilizzati dai client come riferimenti univoci quando si accede ai file. EFS genera in modo sicuro gli handle di file che sono imprevedibili e specifici di un file system EFS. Quando è in essere un override della directory radice, EFS non rivela gli handle di file per i file esterni alla directory radice specificata. Tuttavia, in alcuni casi un utente potrebbe ottenere un handle per un file esterno al proprio punto di accesso utilizzando un out-of-band meccanismo. Ad esempio, potrebbero farlo se hanno accesso a un secondo punto di accesso. Se lo fanno, possono eseguire operazioni di lettura e scrittura sul file.

La proprietà del file e le autorizzazioni di accesso vengono sempre applicate, per accedere ai file all'interno e all'esterno della directory radice del punto di accesso di un utente.

Utilizzo dei punti di accesso nelle policy IAM

Puoi utilizzare una policy IAM per stabilire che un client NFS specifico, identificato dal suo ruolo IAM, può accedere solo a un punto di accesso specifico. A tale scopo, è possibile utilizzare la chiave di condizione elasticfilesystem:AccessPointArn IAM. AccessPointArn è l’Amazon Resource Name (ARN) del punto di accesso con cui è montato il file system.

Di seguito è riportato un esempio di un criterio di file system che consente al ruolo IAM app1 di accedere al file system utilizzando il punto di accesso fsap-01234567. La policy consente inoltre a app2 di utilizzare il file system utilizzando il punto di accesso fsap-89abcdef.


{
    "Version": "2012-10-17",
    "Id": "MyFileSystemPolicy",
    "Statement": [
        {
            "Sid": "App1Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567"
                }
            }
        },
        {
            "Sid": "App2Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef"
                }
            }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autorizzazioni di file e directory

Blocco dell'accesso pubblico