翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM を使用してファイルシステムデータアクセスを制御する
IAM ID ポリシーとリソースポリシーの両方を使用して、クラウド環境にスケーラブルかつ最適化された方法で Amazon EFSリソースへのクライアントアクセスを制御できます。を使用するとIAM、読み取り専用、書き込み、ルートアクセスなど、ファイルシステムで特定のアクションを実行することをクライアントに許可できます。IAM ID ポリシーまたはファイルシステムリソースポリシーのいずれかのアクションに対する「許可」アクセス許可は、そのアクションへのアクセスを許可します。ID ポリシーとリソースポリシーの両方で権限を付与する必要はありません。
NFS クライアントは、EFSファイルシステムに接続するときにIAMロールを使用して自分自身を識別できます。クライアントがファイルシステムに接続すると、Amazon はファイルシステムのIAMリソースポリシーEFSを評価します。これはファイルシステムポリシーと呼ばれ、ID ベースのIAMポリシーを使用して、付与する適切なファイルシステムアクセス許可を決定します。
NFS クライアントにIAM認証を使用する場合、クライアント接続とIAM認証の決定は に記録されます AWS CloudTrail。を使用して Amazon EFSAPIコールを記録する方法の詳細については CloudTrail、「」を参照してくださいを使用した Amazon EFSAPIコールのログ記録 AWS CloudTrail。
重要
クライアントアクセスを制御するためのIAM認可を使用するには、EFSマウントヘルパーを使用して Amazon EFS ファイルシステムをマウントする必要があります。詳細については、「IAM 認可付きのマウント」を参照してください。
デフォルトのEFSファイルシステムポリシー
デフォルトのEFSファイルシステムポリシーは、 IAMを使用して認証せず、マウントターゲットを使用してファイルシステムに接続できる匿名クライアントへのフルアクセスを許可します。デフォルトポリシーは、ファイルシステムの作成時を含め、ユーザーが設定したファイルシステムポリシーが有効でない場合は常に有効になります。デフォルトのファイルシステムポリシーが有効になると、DescribeFileSystemPolicy
APIオペレーションはPolicyNotFound
レスポンスを返します。
EFS クライアントのアクション
ファイルシステムポリシーを使用してファイルシステムにアクセスするクライアントに対して、以下のアクションを指定できます。
[アクション] | 説明 |
---|---|
|
ファイルシステムへの読み取り専用アクセス許可を付与します。 |
|
ファイルシステムへの書き込みアクセス許可を付与します。 |
|
ファイルシステムへのアクセス時にルートユーザーの使用を許可します。 |
EFS クライアントの条件キー
条件を表すには、あらかじめ定義された条件キーを使用します。Amazon EFSには、NFSクライアント用に以下の事前定義された条件キーがあります。IAM コントロールを使用してEFSファイルシステムへのアクセスを保護する場合、その他の条件キーは適用されません。
EFS 条件キー | 説明 | 演算子 |
---|---|---|
aws:SecureTransport |
このキーを使用して、EFSファイルシステムに接続するTLSときに を使用するようにクライアントに要求します。 |
ブール値 |
aws:SourceIp |
EFS ファイルシステムにアクセスするクライアントのプライベート IP アドレス。 | 文字列 |
elasticfilesystem:AccessPointArn |
ARN クライアントが接続しているEFSアクセスポイントの 。 | 文字列 |
elasticfilesystem:AccessedViaMountTarget |
このキーを使用して、EFSファイルシステムマウントターゲットを使用していないクライアントによるファイルシステムへのアクセスを防止します。 | ブール値 |
ファイルシステムポリシーの例
Amazon EFS ファイルシステムポリシーの例を表示するには、「」を参照してくださいAmazon のリソースベースのポリシーの例 EFSAmazon EFS。