翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon のリソースベースのポリシーの例 EFSAmazon EFS
このセクションでは、さまざまな Amazon EFSアクションのアクセス許可を付与または拒否するファイルシステムポリシーの例を示します。Amazon EFS ファイルシステムポリシーには 20,000 文字の制限があります。リソースベースのポリシーの要素については、「Amazon 内のリソースベースのポリシー EFS」を参照してください。
重要
ファイルシステムポリシー内の個々のIAMユーザーまたはロールにアクセス許可を付与する場合は、そのユーザーまたはロールをファイルシステム上でポリシーが有効である間は削除または再作成しないでください。そのような操作を行うと、そのユーザーまたはロールはファイルシステムから事実上ロックアウトされ、アクセスできなくなります。詳細については、IAM「 ユーザーガイド」の「プリンシパルの指定」を参照してください。
ファイルシステムポリシーの作成方法の詳細については、「ファイルシステムポリシーの作成」を参照してください。
例: 特定の AWS ロールへの読み取りおよび書き込みアクセスを許可する
この例では、EFSファイルシステムポリシーには次の特徴があります。
-
効果は
Allow
です。 -
プリンシパルは、 AWS アカウントの Testing_Role に設定されています。
-
アクションは
ClientMount
(読み取り)、およびClientWrite
に設定されます。 -
アクセス許可を付与する条件は
AccessedViaMountTarget
に設定されています。
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
例: 読み取り専用アクセスの付与
次のファイルシステムポリシーはClientMount
、ロールに または読み取り専用のアクセス許可のみを付与します EfsReadOnly IAM。
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
特定の管理ワークステーションを除くすべてのIAMプリンシパルへのルートアクセスを拒否するなど、追加のファイルシステムポリシーを設定する方法については、「」を参照してくださいNFS クライアントのIAM認証を使用してルートスカッシングを有効にする。
例: EFSアクセスポイントへのアクセスを許可する
EFS アクセスポリシーを使用して、EFSファイルシステム上の共有ファイルベースのデータセットに対するアプリケーション固有のビューをNFSクライアントに提供します。ファイルシステムポリシーを使用して、ファイルシステムへのアクセス許可をアクセスポイントに付与します。
このファイルポリシーの例では、 条件要素を使用して、ファイルシステムへのARNフルアクセスによって識別される特定のアクセスポイントを付与します。
EFS アクセスポイントの使用の詳細については、「」を参照してくださいAmazon EFSアクセスポイントの使用。
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }