Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzato IAM per controllare l'accesso ai dati del file system
Puoi utilizzare sia policy di IAM identità che policy di risorse per controllare l'accesso dei client alle EFS risorse di Amazon in modo scalabile e ottimizzato per gli ambienti cloud. UtilizzandoIAM, puoi consentire ai client di eseguire azioni specifiche su un file system, tra cui la sola lettura, la scrittura e l'accesso root. Un'autorizzazione di «autorizzazione» per un'azione in una politica di IAM identità o in una politica delle risorse del file system consente l'accesso a tale azione. L'autorizzazione non deve essere concessa sia in una policy di identità sia in una policy delle risorse.
NFSi client possono identificarsi utilizzando un IAM ruolo durante la connessione a un EFS file system. Quando un client si connette a un file system, Amazon EFS valuta la politica IAM delle risorse del file system, chiamata politica del file system, insieme a qualsiasi IAM politica basata sull'identità per determinare le autorizzazioni di accesso al file system appropriate da concedere.
Quando si utilizza l'IAMautorizzazione per NFS i client, vengono registrate le connessioni dei client e le decisioni di IAM autorizzazione. AWS CloudTrail Per ulteriori informazioni su come registrare EFS API le chiamate Amazon con CloudTrail, consultaRegistrazione delle EFS API chiamate Amazon con AWS CloudTrail.
Importante
È necessario utilizzare il EFS mount helper per montare i EFS file system Amazon al fine di utilizzare l'IAMautorizzazione per controllare l'accesso dei client. Per ulteriori informazioni, consulta Montaggio con autorizzazione IAM.
Politica predefinita EFS del file system
La politica predefinita del EFS file system non prevede l'IAMautenticazione e garantisce l'accesso completo a qualsiasi client anonimo in grado di connettersi al file system utilizzando una destinazione di montaggio. La policy predefinita è effettiva ogni volta che non esiste una policy di file system configurata dall'utente, anche a livello di creazione del file system. Ogni volta che la politica predefinita del file system è in vigore, un'DescribeFileSystemPolicyAPIoperazione restituisce una PolicyNotFound risposta.
EFSazioni per i clienti
È possibile specificare le seguenti operazioni per i client in un file system utilizzando una policy del file system.
| Azione | Descrizione |
|---|---|
|
|
Fornisce un accesso in sola lettura a un file system. |
|
|
Fornisce le autorizzazioni di scrittura su un file system. |
|
|
Fornisce la possibilità di utilizzare l'utente root quando si accede a un file system. |
EFSchiavi di condizione per i clienti
Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Amazon EFS dispone delle seguenti chiavi di condizione predefinite per NFS i clienti. Qualsiasi altra chiave condizionale non viene applicata quando si utilizzano IAM i controlli per proteggere l'accesso ai EFS file system.
| EFSChiave di condizione | Descrizione | Operatore |
|---|---|---|
aws:SecureTransport |
Utilizzate questa chiave per richiedere ai client di TLS utilizzarla durante la connessione a un EFS file system. |
Booleano |
aws:SourceIp |
Indirizzo IP privato del client che accede a un EFS file system. | Stringa |
elasticfilesystem:AccessPointArn |
ARNdel punto di EFS accesso a cui il client si connette. | Stringa |
elasticfilesystem:AccessedViaMountTarget |
Utilizzate questa chiave per impedire l'accesso a un EFS file system da parte di client che non utilizzano destinazioni di montaggio del file system. | Booleano |
Esempi di policy del file system
Per visualizzare esempi di politiche dei EFS file system di Amazon, consultaEsempi di policy basate sulle risorse per Amazon EFSAmazon EFS.
