IAM を使用したファイルシステムのデータアクセスの制御 - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM を使用したファイルシステムのデータアクセスの制御

IAM ID ポリシーとリソースポリシーの両方を使用して、クラウド環境向けのスケーラブルで最適化された方法で、Amazon EFS リソースへのクライアントアクセスを制御できます。IAM を使用すると、読み取り専用アクセス、書き込みアクセス、ルートアクセスなどの特定のアクションをファイルシステムに実行することをクライアントに許可できます。

NFS クライアントは、EFS ファイルシステムに接続するときに IAM ロールを使用してそれ自体を識別できます。クライアントがファイルシステムに接続すると、Amazon EFS はファイルシステムの IAM リソースポリシー (ファイルシステムポリシー) と ID ベースの IAM ポリシーを評価し、付与する適切なファイルシステムアクセス許可を決定します。

NFS クライアントの IAM 認証を使用すると、クライアント接続と IAM 認証の決定がAWS CloudTrail。CloudTrail を使用して Amazon EFS の API コールを記録する方法の詳細については、「」を参照してください。を使用した Amazon EFS API コールのログ記録AWS CloudTrail

重要

IAM 認証を使用してクライアントアクセスを制御するには、EFS マウントヘルパーを使用して Amazon EFS ファイルシステムをマウントする必要があります。詳細については、「IAM 認証によるマウント」を参照してください。

デフォルトの EFS ファイルシステムのポリシー

デフォルトの EFS ファイルシステムポリシーは、ファイルシステムマウントターゲットを使用してファイルシステムに接続できるすべてのクライアントへのフルアクセスを許可します。デフォルトポリシーは、ファイルシステムの作成時を含め、ユーザーがファイルシステムポリシーを設定していない場合に有効になります。デフォルトのファイルシステムポリシーが有効な場合、 DescribeFileSystemPolicy API オペレーションは PolicyNotFound レスポンスを返します。

クライアントの EFS アクション

ファイルシステムポリシーを使用して、ファイルシステムにアクセスするクライアントに対して、以下のアクションを指定できます。

アクション 説明

elasticfilesystem:ClientMount

ファイルシステムへの読み取り専用アクセスを許可します。

elasticfilesystem:ClientWrite

ファイルシステムへの書き込みアクセス許可を提供します。

elasticfilesystem:ClientRootAccess

ファイルシステムにアクセスするときに root ユーザーを使用します。

クライアントの EFS 条件キー

条件を表すには、あらかじめ定義された条件キーを使用します。Amazon EFS には、NFS クライアント用の以下の条件キーがあらかじめ定義されています。

EFS 条件キー 説明 演算子
aws:SecureTransport

EFS ファイルシステムに接続するときに、クライアントに TLS を使用することを要求するには、このキーを使用します。

Boolean

elasticfilesystem:AccessPointArn クライアントが接続する先の EFS アクセスポイントの ARN。
elasticfilesystem:AccessedViaMountTarget このキーを使用して、ファイルシステムのマウントターゲットを使用していないクライアントが EFS ファイルシステムにアクセスできないようにします。

Boolean

ファイル・システム・ポリシーの例

このセクションでは、さまざまな Amazon EFS アクションのアクセス権限を付与または拒否するファイルシステムポリシー例を示しています。Amazon EFS ファイルシステムポリシーには 20,000 文字制限があります。リソースベースのポリシーの要素については、「ポリシー要素 (アクション、効果、プリンシパル) の指定」を参照してください。

重要

ファイルシステムポリシーで個々の IAM ユーザーまたはロールにアクセス許可を付与する場合、ポリシーがファイルシステムで有効な間は、そのユーザーまたはロールを削除したり再作成したりしないでください。そのような操作を行うと、そのユーザーまたはロールはファイルシステムから事実上ロックアウトされ、アクセスできなくなります。詳細については、「」を参照してください。プリンシパルの指定()IAM ユーザーガイド

ファイルシステムポリシーの作成方法については、「」を参照してください。ファイルシステムポリシーの作成

例 1: 特定のAWSユーザー

この例の EFS ファイルシステムポリシーには、以下の特徴があります。

  • 効果は Allow です。

  • プリンシパルは、ユーザー CarlosSalazar に設定されます。

  • アクションはClientMount(読み取り)、ClientWrite

  • アクセス許可を付与する条件は、SecureTransport— TLS 暗号化プロトコルを使用するクライアントのみがアクセスを許可されます。

{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleSatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/CarlosSalazar" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "Bool": { "aws:SecureTransport": "true" } } } ] }

例 2: 読み取り専用アクセス権限の付与

次のファイル・システム・ポリシーは、ClientMount(読み取り専用) アクセス許可を EFSReadOnly IAM ロールに付与します。

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

特定の管理ワークステーションを除くすべての IAM プリンシパルへのルートアクセスを拒否するなど、追加のファイルシステムポリシーを設定する方法については、「」を参照してください。チュートリアルの概要: NFS クライアントの IAM 認証を使用してルートスカッシュを有効にする

例 3: EFS アクセスポイントへのアクセスを許可する

EFS アクセスポリシーを使用して、EFS ファイルシステムの共有ファイルベースのデータセットに関するアプリケーション固有のビューを、NFS クライアントに提供します。ファイルシステムポリシーを使用して、ファイルシステムへのアクセス許可をアクセスポイントに付与します。このファイルポリシーの例では、条件要素を使用して、ARN によって識別された特定のアクセスポイントに対してファイルシステムへのフルアクセスを許可します。EFS アクセスポイントの使用方法の詳細については、「」を参照してください。Amazon EFS アクセスポイントを使用する

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }