IAM を使用してファイルシステムデータアクセスを制御する - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM を使用してファイルシステムデータアクセスを制御する

IAM ID ポリシーとリソースポリシーの両方を使用して、クラウド環境にスケーラブルかつ最適化された方法で Amazon EFSリソースへのクライアントアクセスを制御できます。を使用するとIAM、読み取り専用、書き込み、ルートアクセスなど、ファイルシステムで特定のアクションを実行することをクライアントに許可できます。IAM ID ポリシーまたはファイルシステムリソースポリシーのいずれかのアクションに対する「許可」アクセス許可は、そのアクションへのアクセスを許可します。ID ポリシーリソースポリシーの両方で権限を付与する必要はありません。

NFS クライアントは、EFSファイルシステムに接続するときにIAMロールを使用して自分自身を識別できます。クライアントがファイルシステムに接続すると、Amazon はファイルシステムのIAMリソースポリシーEFSを評価します。これはファイルシステムポリシーと呼ばれ、ID ベースのIAMポリシーを使用して、付与する適切なファイルシステムアクセス許可を決定します。

NFS クライアントにIAM認証を使用する場合、クライアント接続とIAM認証の決定は に記録されます AWS CloudTrail。を使用して Amazon EFSAPIコールを記録する方法の詳細については CloudTrail、「」を参照してくださいを使用した Amazon EFSAPIコールのログ記録 AWS CloudTrail

重要

クライアントアクセスを制御するためのIAM認可を使用するには、EFSマウントヘルパーを使用して Amazon EFS ファイルシステムをマウントする必要があります。詳細については、「IAM 認可付きのマウント」を参照してください。

デフォルトのEFSファイルシステムポリシー

デフォルトのEFSファイルシステムポリシーは、 IAMを使用して認証せず、マウントターゲットを使用してファイルシステムに接続できる匿名クライアントへのフルアクセスを許可します。デフォルトポリシーは、ファイルシステムの作成時を含め、ユーザーが設定したファイルシステムポリシーが有効でない場合は常に有効になります。デフォルトのファイルシステムポリシーが有効になると、DescribeFileSystemPolicyAPIオペレーションはPolicyNotFoundレスポンスを返します。

EFS クライアントのアクション

ファイルシステムポリシーを使用してファイルシステムにアクセスするクライアントに対して、以下のアクションを指定できます。

[アクション] 説明

elasticfilesystem:ClientMount

ファイルシステムへの読み取り専用アクセス許可を付与します。

elasticfilesystem:ClientWrite

ファイルシステムへの書き込みアクセス許可を付与します。

elasticfilesystem:ClientRootAccess

ファイルシステムへのアクセス時にルートユーザーの使用を許可します。

EFS クライアントの条件キー

条件を表すには、あらかじめ定義された条件キーを使用します。Amazon EFSには、NFSクライアント用に以下の事前定義された条件キーがあります。IAM コントロールを使用してEFSファイルシステムへのアクセスを保護する場合、その他の条件キーは適用されません。

EFS 条件キー 説明 演算子
aws:SecureTransport

このキーを使用して、EFSファイルシステムに接続するTLSときに を使用するようにクライアントに要求します。

ブール値

aws:SourceIp EFS ファイルシステムにアクセスするクライアントのプライベート IP アドレス。 文字列
elasticfilesystem:AccessPointArn ARN クライアントが接続しているEFSアクセスポイントの 。 文字列
elasticfilesystem:AccessedViaMountTarget このキーを使用して、EFSファイルシステムマウントターゲットを使用していないクライアントによるファイルシステムへのアクセスを防止します。

ブール値

ファイルシステムポリシーの例

Amazon EFS ファイルシステムポリシーの例を表示するには、「」を参照してくださいAmazon のリソースベースのポリシーの例 EFSAmazon EFS