ファイルシステムポリシーの作成 - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ファイルシステムポリシーの作成

Amazon EFS コンソールまたは AWS CLIを使用してファイルシステムポリシーを作成できます。 AWS SDKs または Amazon EFS API を直接使用して、プログラムでファイルシステムポリシーを作成することもできます。EFS ファイルシステムポリシーには 20,000 文字の制限があります。EFS ファイルシステムポリシーの使用および例の詳細については、「IAM を使用してファイルシステムのデータアクセスを制御する」を参照してください。

注記

Amazon EFS ファイルシステムポリシーの変更が有効になるまでに数分かかる場合があります。

  1. Amazon Elastic File System コンソール (https://console.aws.amazon.com/efs/) を開きます。

  2. [File Systems (ファイルシステム)] を選択します。

  3. [File systems (ファイルシステム)] ページで、ファイルシステムポリシーを編集または作成する対象のファイルシステムを選択します。そのファイルシステムの詳細ページが表示されます。

  4. [File system policy (ファイルシステムポリシー)]、[編集] の順に選択します。。[File system policy (ファイルシステムポリシー)] ページが表示されます。

    ファイルシステムポリシーエディタは、Amazon EFS コンソールでファイルシステムポリシーを作成および編集する場所です。

  5. ポリシーのオプションの場合は、設定済みのファイルシステムポリシーの任意の組み合わせを選択できます。

    • デフォルトでルートアクセスを防止する - このオプションは、許可された EFS アクションの設定から ClientRootAccess を削除します。

    • デフォルトで読み取り専用アクセスを強制する - このオプションは、許可された EFS アクションの設定から ClientWriteAccess を削除します。

    • 匿名アクセスを防止する - このオプションは、許可された EFS アクションの設定から ClientMount を削除します。

    • すべてのクライアントに転送中の暗号化を強制する - このオプションは、暗号化されていないクライアントへのアクセスを拒否します。

    事前設定されたポリシーを選択すると、ポリシーの JSON オブジェクトが[Policy editor(ポリシーエディター)]ペインに表示されます。

  6. 追加のアクセス許可を付与を使用して、別の を含む追加の IAM プリンシパルにファイルシステムのアクセス許可を付与します AWS アカウント。[Add(追加)] を選択し、アクセス許可を付与するエンティティのプリンシパル ARN を入力します。付与する[Permissions(アクセス許可)]を選択します。追加のアクセス許可は、[Policy editor(ポリシーエディター)]で表示されます。

  7. [Policy editor(ポリシーエディター)]を使用して、事前に設定されたポリシーをカスタマイズしたり、独自のファイルシステムポリシーを作成したりできます。。エディタを使用すると、事前設定されたポリシーオプションは使用できなくなります。現在のファイルシステムポリシーをクリアして新しいポリシーの作成を開始するには、[Clear(クリア)]を選択します。

    エディタをクリアすると、事前設定されたポリシーが再度使用可能になります。

  8. ポリシーの編集が完了したら、[Save(保存)]を選択します。

次の例では、 put-file-system-policy CLI コマンドは、指定した EFS ファイルシステムへの AWS アカウント 読み取り専用アクセスを許可するファイルシステムポリシーを作成します。同等の API コマンドは PutFileSystemPolicy です。

aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{
    "Id": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            }
        }                                                                                                 
    ]
}'
{
    "FileSystemId": "fs-01234567",
    "Policy": "{
    "Version" : "2012-10-17",
    "Id" : "1",
    "Statement" : [
        {
           "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555",
           "Effect" : "Allow",
           "Principal" : {
              "AWS" : "arn:aws:iam::111122223333:root"
           },
           "Action" : [ 
              "elasticfilesystem:ClientMount" 
           ],
           "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567"
           } 
        ]
    }
}