IAM を使用してファイルシステムのデータアクセスを制御する

IAM の アイデンティティ ポリシーとリソースポリシーの両方を使用して、クラウド環境向けのスケーラブルで最適化された方法により、Amazon EFS リソースへのクライアントアクセスを制御できます。IAM を使用すると、読み取り専用アクセス、書き込みアクセス、ルートアクセスなどの特定のアクションをファイルシステムに実行することをクライアントに許可できます。IAM アイデンティティポリシーまたはファイルシステムリソースポリシーのいずれかで、アクションに 「許可」権限を付与すると、そのアクションへのアクセスが許可されます。ID ポリシーとリソースポリシーの両方で権限を付与する必要はありません。

NFS クライアントは、EFS ファイルシステムに接続するときに、IAM ロールを使用してそれ自体を識別できます。クライアントがファイルシステムに接続すると、Amazon EFS はファイルシステムの IAM リソースポリシー (ファイルシステムポリシー) とアイデンティティベースの IAM ポリシーを評価し、付与する適切なファイルシステムアクセス許可を決定します。

NFS クライアントの IAM 認証を使用すると、クライアント接続と IAM 認証の決定が AWS CloudTrailに記録されます。で Amazon EFS API コールをログに記録する方法の詳細については CloudTrail、「」を参照してくださいでの Amazon EFS API 呼び出しのロギング AWS CloudTrail。

重要

IAM 認証を使用してクライアントによるアクセスをコントロールするには、EFS マウントヘルパーを使用して Amazon EFS ファイルシステムをマウントする必要があります。詳細については、「IAM 認証を使用してマウントする」を参照してください。

デフォルトの EFS ファイルシステムポリシー

デフォルトの EFS ファイルシステムポリシーは、認証に IAM を使用せず、マウントターゲットを使用して、ファイルシステムに接続できる任意の匿名クライアントにフルアクセスを許可します。デフォルトポリシーは、ファイルシステムの作成時を含め、ユーザーが設定したファイルシステムポリシーが有効でない場合は常に有効になります。デフォルトのファイルシステムポリシーが有効な場合、DescribeFileSystemPolicy API オペレーションは PolicyNotFound レスポンスを返します。

クライアントの EFS アクション

ファイルシステムポリシーを使用してファイルシステムにアクセスするクライアントに対して、以下のアクションを指定できます。

[アクション]	説明
elasticfilesystem:ClientMount	ファイルシステムへの読み取り専用アクセス許可を付与します。
elasticfilesystem:ClientWrite	ファイルシステムへの書き込みアクセス許可を付与します。
elasticfilesystem:ClientRootAccess	ファイルシステムへのアクセス時にルートユーザーの使用を許可します。

クライアントの EFS 条件キー

条件を表すには、あらかじめ定義された条件キーを使用します。Amazon EFS には、NFS クライアント用に次の事前定義された条件キーがあります。IAM コントロールを使用して EFS ファイルシステムへのアクセスを保護する場合、その他の条件キーは適用されません。

EFS 条件キー	説明	演算子
aws:SecureTransport	このキーを使用して、EFS ファイルシステムに接続するときに TLS の使用をクライアントに要求します。	ブール値
aws:SourceIp	EFS ファイルシステムにアクセスするクライアントのプライベート IP アドレス。	文字列
elasticfilesystem:AccessPointArn	クライアントが接続している EFS アクセスポイントの ARN。	文字列
elasticfilesystem:AccessedViaMountTarget	このキーを使用して、ファイルシステムマウントターゲットを使用していないクライアントによる EFS ファイルシステムへのアクセスを防止します。	ブール値

ファイルシステムポリシーの例

Amazon EFS ファイルシステムポリシーの例を表示するには、「Amazon Elastic File System のリソースベースのポリシーの例」を参照してください。