パブリックアクセスのブロック - Amazon Elastic File System
AWS Transfer Family を使用したパブリックアクセスのブロック「パブリック」の意味

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

パブリックアクセスのブロック

Amazon EFS ブロックパブリックアクセス機能は、Amazon EFS ファイルシステムへのパブリックアクセスを管理するのに役立ちます。デフォルトでは、新しい Amazon EFS ファイルシステムはパブリックアクセスを許可しません。ただし、パブリックアクセスを許可するようにファイルシステムポリシーを変更することはできます。

AWS Transfer Family を使用したパブリックアクセスのブロック

Amazon EFS を AWS Transfer Family で使用する場合、ファイルシステムがパブリックアクセスを許可していると、ファイルシステムとは異なるアカウントが所有する Transfer Family サーバーから受信したファイルシステムのアクセス要求がブロックされます。Amazon EFS はファイルシステムの IAM ポリシーを評価し、ポリシーがパブリックである場合は、リクエストをブロックします。AWS Transfer Family のファイルシステムへのアクセスを許可するには、ファイルシステムポリシーを更新し、パブリックと見なされないようにします。

注記

Amazon EFS での Transfer Family の使用は、2021 年 1 月 6 日より前に作成されたパブリックアクセスを許可するポリシーを持つ EFS ファイルシステムを持つ AWS アカウント に対して、デフォルトで無効になっています。Transfer Family を使ってファイルシステムにアクセスできるようにするには、AWS サポートにお問い合わせください。

「パブリック」の意味

ファイルシステムがパブリックアクセスを許可するかどうかを評価する場合、Amazon EFS はファイルシステムポリシーがパブリックであると見なします。その後、ファイルシステムのポリシーを評価して、非パブリックとしての資格があるかどうかを判断します。非パブリックと見なすには、ファイルシステムポリシーは、次のうち 1 つ以上の固定値 (ワイルドカードを含まない値) にのみアクセスを許可する必要があります。

  • aws:SourceIp を使用した一連のクラスレスドメイン間ルーティング (CIDR)。CIDR の詳細については、RFC Editor のウェブサイトで RFC 4632 を参照してください。

  • AWS のプリンシパル、ユーザー、ロール、またはサービスプリンシパル(例えば、2aws:PrincipalOrgIDなど)

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

これらのルールでは、次のポリシー例はパブリックと見なされます。

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

このファイルシステムポリシーを非公開にするには、EFS の条件キー elasticfilesystem:AccessedViaMountTarget を [true] に設定します。elasticfilesystem:AccessedViaMountTarget を使用すると、ファイルシステムのマウントターゲットを使用して EFS ファイルシステムにアクセスするクライアントに対して、指定された EFS アクションを許可することができます。以下の非公開ポリシーでは、elasticfilesystem:AccessedViaMountTarget 条件のキーを [true] に設定して使用します。

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

Amazon EFS における条件キーの詳細については、「クライアントの EFS 条件キー」を参照してください。ファイルシステムポリシーの作成の詳細については、「ファイルシステムポリシーの作成」を参照してください。