チュートリアル: NFS クライアントの IAM 認証を使用してルートスカッシュを有効にする - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: NFS クライアントの IAM 認証を使用してルートスカッシュを有効にする

このチュートリアルでは、1 つの管理ワークステーションを除くすべての AWS プリンシパルを対象に、Amazon EFS ファイルシステムへのルートアクセスを拒否するように、Amazon EFS を設定します。そのためには、ネットワークファイルシステム (NFS) クライアントの AWS Identity and Access Management (IAM) 認証を設定します。EFS での NFS クライアントの IAM 認証の詳細については、「IAM を使用してファイルシステムのデータアクセスを制御する」を参照してください。

そのためには、以下に示すように、2 つの IAM アクセス許可ポリシーを設定する必要があります。

  • ファイルシステムへの読み取りおよび書き込みアクセスを明示的に許可し、ルートアクセスを暗黙的に拒否する EFS ファイルシステムポリシーを作成します。

  • Amazon EC2 インスタンスプロファイルを使用して、ファイルシステムへのルートアクセスを必要とする Amazon EC2 管理ワークステーションに IAM ID を割り当てます。Amazon EC2 インスタンスプロファイルの詳細については、AWS Identity and Access Managementユーザーガイドの「インスタンスプロファイルの使用」を参照してください。

  • AmazonElasticFileSystemClientFullAccess AWS 管理ポリシーを、管理ワークステーションの IAM ロールに割り当てます。EFS の AWS 管理ポリシーの詳細については、「Amazon Elastic File System での Identity and access management」を参照してください。

NFS クライアントの IAM 認証を使用してルートスカッシュを有効にするには、以下の手順を使用します。

ファイルシステムへのルートアクセスを無効にするには

  1. Amazon Elastic File System コンソール (https://console.aws.amazon.com/efs/) を開きます。

  2. FileSystem (ファイルシステム)を選択します。

  3. [File systems (ファイルシステム)] ページで、ルートスカッシュを有効にする対象のファイルシステムを選択します。

  4. [File System details] ページで、[ファイルシステムポリシー] 、続いて編集を選択します。[File system policy (ファイルシステムポリシー)] ページが表示されます。

    ファイルシステムポリシーを編集および保存するためのファイルシステムポリシーページ。

  5. ポリシーオプション選択デフォルトで root アクセスを禁止する*を選択します。ポリシー JSON オブジェクトがポリシーエディターに表示されます。

  6. [Save (保存)] を選択して、ファイルシステムポリシーを保存します。

非匿名クライアントは、アイデンティティベースのポリシーを通じてファイルシステムへのルートアクセスを取得できます。AmazonElasticFileSystemClientFullAccess 管理ポリシーをワークステーションのロールにアタッチすると、IAM はその ID ポリシーに基づいてワークステーションへのルートアクセスを許可します。

管理ワークステーションからルートアクセスを有効にするには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. Amazon EC2 の「EFS-client-root-access」というロールを作成します。IAM は、作成した EC2 ロールと同じ名前を使用してインスタンスプロファイルを作成します。

  3. 作成した EC2 ロールに AWS 管理ポリシー AmazonElasticFileSystemClientFullAccess を割り当てます。このポリシーの内容は次のとおりです。

    {
    "Version”: "2012-10-17",
    "Statement": [
     {
         "Effect": "Allow",
         "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientRootAccess",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:DescribeMountTargets"
         ],
         "Resource": "*"
     }
 ]
}

  4. 以下に説明するように、管理ワークステーションとして使用している EC2 インスタンスにインスタンスプロファイルをアタッチします。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「IAM ロールをインスタンスにアタッチする」を参照してください。

    1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

    2. ナビゲーションペインで、[インスタンス] を選択します。

    3. インスタンスを選択します。[Actions (アクション)] で [インスタンスの設定] を選択し、[IAM ロールの割り当て/置換] を選択します。

    4. 最初のステップで作成した IAM ロール (EFS-client-root-access) を選択してから、[Apply (適用)] を選択します。

  5. 管理ワークステーションに EFS マウントヘルパーをインストールします。EFS amazon-efs-utils マウントヘルパーとパッケージの詳細については、を参照してください amazon-efs-utils ツールの使用

  6. 以下のコマンドと iam マウントオプションを使用して、管理ワークステーションに EFS ファイルシステムをマウントします。

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    IAM 認証を使用してファイルシステムを自動的にマウントするように Amazon EC2 インスタンスを設定できます。IAM 認証を使用した EFS ファイルシステムのマウントの詳細については、「IAM 認証を使用してマウントする」を参照してください。