翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
アカウント間で AWS EFS ファイルシステムをレプリケートする
EFS ファイルシステムをレプリケートできます AWS アカウント。アカウント間でレプリケートすると、ディザスタリカバリ (DR) 戦略の全体的な耐障害性と信頼性が向上し、企業のコンプライアンス義務を満たすのに役立ちます。
例えば、コンプライアンスポリシーでは、環境 (本番稼働、ステージング、ディザスタリカバリ (DR) など) ごとに異なるアカウントを使用する必要がある場合があります。または、異なる 間でのレプリケーション AWS アカウント により、より強力な分離、アクセス許可とアクセスポリシーのよりきめ細かな制御、リソースのより簡単な監査が提供される場合があります。本番稼働用アカウントが侵害された場合 (セキュリティ違反、設定ミス、インサイダーの脅威など)、DR サーバーを別のアカウントに配置すると、攻撃者がそれらにアクセスするのを防ぎ、セキュリティインシデントの爆発的な範囲を減らし、不正な変更のリスクを最小限に抑えることができます。
間でレプリケートするには、追加のセキュリティとポリシーの設定 AWS アカウント が必要です。サービスにリンクされたロールを使用してクロスアカウントレプリケーションを実行する代わりに、レプリケート先アカウントでレプリケーションを実行するアクセス許可を Amazon EFS に付与する IAM ロールを作成する必要があります。また、アカウント間で共有するファイルシステムにポリシーを作成する必要があります。IAM ロールとファイルシステムポリシーを作成したら、レプリケーション設定を作成します。
カスタム信頼ポリシーを使用して IAM ロールを作成する
Amazon EFS がソースアカウントに代わってクロスアカウントレプリケーションを実行するには、ソースアカウントに IAM ロールを作成する必要があります。ロールには、Amazon EFS がロールを引き受け、サービスプリンシパルとして機能することを許可するelasticfilesystem.amazonaws.com信頼ポリシーが必要です。ロールには、レプリケーションの実行に必要なすべての IAM アクセス許可 (「」を参照必要な IAM アクセス許可) が含まれ、レプリケート先アカウントのファイルシステムにレプリケートするための明示的なアクセス許可を付与する必要があります。
前提条件
ソースアカウントの IAM ロールを作成する前に、レプリケーション設定でソースファイルシステムとレプリケート先ファイルシステムの両方を作成する必要があります。Amazon EFS は、レプリケーション中に送信先ファイルシステムを作成することはできません。さらに、各ファイルシステムの Amazon リソースネーム (ARN) を把握して提供する必要があります。
クロスアカウントレプリケーション用の IAM ロールを作成するには
以下は、Amazon EFS とのクロスアカウントレプリケーション用のカスタム信頼ポリシーを使用して IAM ロールを作成する一般的な手順です。IAM ロールを作成するstep-by-stepについては、「 AWS Identity and Access Management ユーザーガイド」の「カスタム信頼ポリシーを使用してロールを作成する」を参照してください。
ソースアカウントのコンソール AWS Identity and Access Management で、次の信頼ポリシーを使用する IAM ロールを作成します。手順については、AWS 「 Identity and Access Management ユーザーガイド」の「カスタム信頼ポリシーを使用してロールを作成する」を参照してください。
-
ロールを作成したら、ロールに次のアクセス許可を割り当てます。を宛先ファイルシステムの ARN
arn:aws:elasticfilesystem:に置き換え、 をソースファイルシステムの ARNus-east-1:111122223333:file-system/fs-0123456789abcdef1arn:aws:elasticfilesystem:に置き換えます。ロールにアクセス許可を割り当てる手順については、「JSON エディタを使用したポリシーの作成」を参照してください。us-east-1:444455556666:file-system/fs-5678910112hijkqr1 IAM ロールの ARN をコピーまたは書き留めます。レプリケーション設定を作成するときは、ARN を指定する必要があります。
送信元ファイルシステムと送信先ファイルシステムにポリシーを作成する
Amazon EFS でファイルシステムクロスアカウントを共有するには、送信先ファイルシステムとソースファイルシステムの両方にポリシーを割り当てる必要があります。ポリシーは、アカウント間で、それらが適用されるファイルシステムへのアクセスを許可または制限します。ファイルシステムを編集する権限を持つアカウント所有者のみが、アカウントのファイルシステムにポリシーを割り当てることができます。
ポリシーでは、アカウント間のアクセスを許可または制限するだけでなく、クライアントが などのファイルシステムと連携するために必要な他のアクセス許可を付与する必要がありますelasticfilesystem:ClientMount。そうしないと、クライアントがファイルシステムにアクセスできなくなる可能性があります。
重要
TLS 接続を介してリソースへのアクセスを制限することはできません。ステートメントに "aws:SecureTransport": "false"条件を含めると、NFS クライアント接続は失敗します。
送信先ファイルシステムのポリシー
レプリケート元アカウントにレプリケート先ファイルシステムへのレプリケートとレプリケート先アカウントからのレプリケーション設定の削除を許可するには、レプリケート先ファイルシステムに次のポリシーを作成する必要があります。をソースファイルシステムを所有するアカウントの ID arn:aws:iam::に置き換えます。を宛先ファイルシステムの ARN 444455556666:rootarn:aws:elasticfilesystem:に置き換えます。us-east-1:111122223333:file-system/fs-0123456789abcdef1
ソースファイルシステムのポリシー
レプリケート先アカウントがレプリケート元アカウントからレプリケーション設定を削除できるようにするには、ソースファイルシステムに次のポリシーを割り当てる必要があります。を、送信先ファイルシステムを所有するアカウントの ID arn:aws:iam::に置き換えます。をソースファイルシステムの ARN 111122223333:root arn:aws:elasticfilesystem:に置き換えます。us-east-1:444455556666:file-system/fs-5678910112hijkqr1
ファイルシステムポリシーを作成するには
前のセクションのポリシーを使用して、送信先ファイルシステムとソースファイルシステムの両方で次の手順を実行します。
-
ファイルシステムを所有するアカウント AWS Management Console で にサインインし、Amazon EFS コンソールで Amazon EFS コンソール
を開きます。 -
ファイルシステムを開きます。
-
左のナビゲーションペインで [ファイルシステム] を選択します。
-
ファイルシステムリストで、ファイルシステムを選択します。
-
-
ファイルシステムポリシータブで、編集を選択します。
-
ポリシーエディタ {Json} にポリシーを貼り付け、保存を選択します。
レプリケーション設定を作成する
IAM ロールを作成し、ソースファイルシステムと宛先ファイルシステムにファイルシステムポリシーを追加したら、「」の手順に従ってレプリケーション設定既存の EFS ファイルシステムへのレプリケーションの設定を作成します。
