Amazon Elastic File System
ユーザーガイド

Amazon Elastic File System でアイデンティティベースのポリシー (IAM ポリシー) を使用する

このトピックでは、アカウント管理者が IAM ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチし、それによって Amazon EFS リソースでオペレーションを実行するアクセス許可を付与する方法を示すアイデンティティベースのポリシーの例を示します。

重要

初めに、Amazon Elastic File System リソースへのアクセスを管理するための基本概念と使用可能なオプションについて説明する概要トピックを読むことをお勧めします。詳細については、「Amazon EFS リソースへのアクセス許可の管理の概要」を参照してください。

このセクションでは、次のトピックを対象としています。

以下に示しているのは、アクセス権限ポリシーの例です。

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "AllowFileSystemPermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "AllowEC2Permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }

このポリシーには以下の 2 つのステートメントがあります。

  • 1 つ目のステートメントは、ファイルシステムの Amazon リソースネーム (ARN) を使用して、リソースでの 2 つの Amazon EFS アクション (elasticfilesystem:CreateFileSystemelasticfilesystem:CreateMountTarget) に対するアクセス権限を付与します。ファイルシステムを作成するまでファイルシステム ID はわからないため、ARN ではワイルドカード文字 (*) が指定されます。

  • 2 番目のステートメントは、最初のステートメントで elasticfilesystem:CreateMountTarget アクションが特定の Amazon EC2 アクションのアクセス権限が必要なため、一部の Amazon EC2; アクションに対してアクセス権限を付与します。これらの Amazon EC2; アクションではリソースレベルのアクセス権限はサポートされていないため、ポリシーではファイルシステム ARN ではなくワイルドカード文字 (*) が Resource の値として指定されます。

アイデンティティベースのポリシーでアクセス権限を得るプリンシパルを指定していないため、ポリシーでは Principal 要素を指定していません。ユーザーにポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。IAM ロールにアクセス権限ポリシーをアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス権限を得ることになります。

すべての Amazon Elastic File System API アクションとそれらが適用されるリソースの表については、「Amazon EFS API のアクセス権限: アクション、リソース、条件リファレンス」を参照してください。

Amazon EFS コンソールを使用するために必要なアクセス権限

アクセス権限のリファレンス表では、Amazon EFS の API オペレーションと各オペレーションに必要なアクセス権限を示しています。Amazon EFS API オペレーションの詳細については、「Amazon EFS API のアクセス権限: アクション、リソース、条件リファレンス」を参照してください。

Amazon EFS コンソールを使用するには、以下のアクセス権限ポリシーに示しているように、追加のアクションのためのアクセス権限を付与する必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1AddtionalEC2PermissionsForConsole", "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeVpcAttribute" ], "Resource": "*" } { "Sid" : "Stmt2AdditionalKMSPermissionsForConsole", "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:DescribeKey" ], "Resource": "*" } ] }

Amazon EFS コンソールには、以下の理由でこれらの追加のアクセス権限が必要になります。

  • Amazon EFS アクションを実行するためのアクセス権限。コンソールで、アカウントの Amazon EFS リソースを表示するために必要です。

  • Amazon EC2 に対してクエリを行う ec2 アクションを実行するためのアクセス権限。コンソールで、アベイラビリティーゾーン、VPC、セキュリティグループ、アカウント属性を表示するために必要です。

  • コンソールが暗号化されたファイルシステムを作成するには kms アクション用のアクセス権限が必要です。暗号化されたファイルシステムの詳細については、「EFS のデータとメタデータの暗号化」を参照してください。

Amazon EFS での AWS 管理 (事前定義) ポリシー

AWS は、AWS によって作成され管理されるスタンドアロンの IAM ポリシーが提供する多くの一般的ユースケースに対応します。管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与することで、どの権限が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、『IAM ユーザーガイド』の「AWS 管理ポリシー」を参照してください。

アカウントのユーザーにアタッチできる以下の AWS 管理ポリシーは、Amazon EFS に固有のものです。

  • AmazonElasticFileSystemReadOnlyAccess – Amazon EFS リソースへの読み取り専用アクセスを付与します。

  • AmazonElasticFileSystemFullAccess – Amazon EFS リソースへのフルアクセスを付与します。

注記

IAM コンソールにサインインし、特定のポリシーを検索することで、これらのアクセス権限ポリシーを確認することができます。

独自のカスタム IAM ポリシーを作成して、Amazon EFS API アクションにアクセス権限を付与することもできます。こうしたカスタムポリシーは、該当するアクセス権限が必要な IAM ユーザーまたはグループにアタッチできます。

お客様が管理するポリシーの例

このセクションでは、さまざまな Amazon EFS アクションのアクセス権限を付与するユーザーポリシー例を示しています。これらのポリシーは、AWS SDK または AWS CLI を使用しているときに機能します。コンソールを使用している場合は、「Amazon EFS コンソールを使用するために必要なアクセス権限」で説明しているコンソールに固有の追加のアクセス権限を付与する必要があります。

注記

すべての例で、us-west-2 リージョンを使用し、架空のアカウント ID を含めています。

例 1: ユーザーに既存のファイルシステムへのマウントターゲットとタグの作成を許可する

次のアクセス権限ポリシーは、us-west-2 リージョンで特定のファイルシステムのマウントターゲットとタグを作成するためのアクセス権限をユーザーに付与します。マウントターゲットを作成するには、特定の Amazon EC2 アクションのアクセス権限も必要で、アクセス権限ポリシーに含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1CreateMountTargetAndTag", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateMountTarget", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:CreateTags", "elasticfilesystem:DescribeTags" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:123456789012:file-system/file-system-ID" }, { "Sid" : "Stmt2AdditionalEC2PermissionsToCreateMountTarget", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ] }

例 2: すべての Amazon EFS アクションの実行をユーザーに許可する

次のアクセス権限ポリシーでは、us-west-2 リージョン内のすべての Amazon EFS アクションをワイルドカード文字 ("elasticfilesystem:*") を使用して許可します。一部の Amazon EFS アクションは、Amazon EC2 アクションのアクセス権限も必要であるため、このポリシーではすべてのアクションへのアクセス権限も付与されます。

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1PermissionForAllEFSActions", "Effect": "Allow", "Action": "elasticfilesystem:*", "Resource": "arn:aws:elasticfilesystem:us-west-2:123456789012:file-system/*" }, { "Sid" : "Stmt2RequiredEC2PermissionsForAllEFSActions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaceAttribute" ], "Resource": "*" } ] }