Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy basate sulle risorse per Amazon EFSAmazon EFS
In questa sezione, puoi trovare esempi di politiche di file system che concedono o negano le autorizzazioni per varie azioni AmazonEFS. Le policy EFS dei file system di Amazon hanno un limite di 20.000 caratteri. Per informazioni sugli elementi di una policy basata sulle risorse, consulta Politiche basate sulle risorse all'interno di Amazon EFS.
Importante
Se concedi l'autorizzazione a un singolo IAM utente o ruolo in una politica del file system, non eliminare o ricreare quell'utente o ruolo mentre la politica è in vigore sul file system. In questo caso, tale utente o ruolo viene effettivamente bloccato fuori dal file system e non sarà in grado di accedervi. Per ulteriori informazioni, vedere Specificare un preside nella Guida per l'IAMutente.
Per ulteriori informazioni sulla creazione di una policy di file system, consulta Creazione di policy del file system.
Argomenti
Esempio: concedere l'accesso in lettura e scrittura a un ruolo specifico AWS
In questo esempio, la politica del EFS file system presenta le seguenti caratteristiche:
-
L'effetto è
Allow. -
L’entità principale è impostata su Testing_Role in Account AWS.
-
L'operazione è impostata su
ClientMount(lettura) eClientWrite. -
La condizione per la concessione delle autorizzazioni è impostata su
AccessedViaMountTarget.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
Esempio: concedere accesso in sola lettura
La seguente politica del file system concede solo autorizzazioniClientMount, o di sola lettura, per il ruolo. EfsReadOnly IAM
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
Per informazioni su come impostare criteri di file system aggiuntivi, inclusa la negazione dell'accesso root a tutti IAM i principali, ad eccezione di una workstation di gestione specifica, vedere. Abilita il root squashing utilizzando l'autorizzazione per i client IAM NFS
Esempio: concedere l'accesso a un punto di accesso EFS
Si utilizza una politica di EFS accesso per fornire a un NFS client una visualizzazione specifica dell'applicazione sui set di dati condivisi basati su file su un file system. EFS Concedere le autorizzazioni del punto di accesso sul file system utilizzando una policy del file system.
Questo esempio di politica dei file utilizza un elemento di condizione per concedere un punto di accesso specifico identificato dal suo accesso ARN completo al file system.
Per ulteriori informazioni sull'utilizzo dei punti di EFS accesso, vedereLavorare con i punti di EFS accesso Amazon.
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }
