IAM 를 사용하여 파일 시스템 데이터 액세스 제어

자격 IAM 증명 정책과 리소스 정책을 모두 사용하여 클라우드 환경에 맞게 확장 가능하고 최적화된 방식으로 Amazon EFS 리소스에 대한 클라이언트 액세스를 제어할 수 있습니다. 를 사용하면 클라이언트가 읽기 전용, 쓰기 및 루트 액세스를 포함하여 파일 시스템에서 특정 작업을 수행하도록 허용할 IAM수 있습니다. IAM 자격 증명 정책 또는 파일 시스템 리소스 정책의 작업에 대한 “허용” 권한을 사용하면 해당 작업에 대한 액세스가 허용됩니다. 자격 증명 및 리소스 정책 모두에서 권한을 부여할 필요는 없습니다.

NFS 클라이언트는 EFS 파일 시스템에 연결할 때 IAM 역할을 사용하여 자신을 식별할 수 있습니다. 클라이언트가 파일 시스템에 연결되면 Amazon은 파일 시스템 정책이라는 파일 시스템의 IAM 리소스 정책을 자격 증명 기반 IAM 정책과 함께 EFS 평가하여 부여할 적절한 파일 시스템 액세스 권한을 결정합니다.

NFS 클라이언트에 권한 IAM 부여를 사용하면 클라이언트 연결 및 IAM 권한 부여 결정이 에 기록됩니다 AWS CloudTrail. 를 사용하여 Amazon EFS API 통화를 로깅하는 방법에 대한 자세한 내용은 섹션을 CloudTrail참조하세요를 사용하여 Amazon EFS API 통화 기록하기 AWS CloudTrail.

중요

IAM 권한 부여를 사용하여 클라이언트 액세스를 제어하려면 EFS 탑재 도우미를 사용하여 Amazon EFS 파일 시스템을 탑재해야 합니다. 자세한 내용은 승인을 통한 마운팅 IAM 단원을 참조하십시오.

기본 EFS 파일 시스템 정책

기본 EFS 파일 시스템 정책은 인증IAM에 를 사용하지 않으며 탑재 대상을 사용하여 파일 시스템에 연결할 수 있는 익명 클라이언트에 대한 전체 액세스 권한을 부여합니다. 기본 정책은 파일 시스템 생성 시를 포함하여 사용자가 구성한 파일 시스템 정책이 존재하지 않을 때마다 적용됩니다. 기본 파일 시스템 정책이 적용될 때마다 DescribeFileSystemPolicy API 작업은 PolicyNotFound 응답을 반환합니다.

EFS 클라이언트에 대한 작업

파일 시스템 정책을 사용하여 클라이언트의 파일 시스템 액세스에 대해 다음 작업을 지정할 수 있습니다.

작업	설명
elasticfilesystem:ClientMount	파일 시스템에 대한 읽기 전용 액세스를 제공합니다.
elasticfilesystem:ClientWrite	파일 시스템에 대한 쓰기 권한을 제공합니다.
elasticfilesystem:ClientRootAccess	파일 시스템에 액세스할 때 루트 사용자를 사용할 수 있는 기능을 제공합니다.

EFS 클라이언트의 조건 키

조건을 표시하려면 미리 정의된 조건 키를 사용합니다. AmazonEFS에는 NFS 클라이언트에 대해 다음과 같은 미리 정의된 조건 키가 있습니다. IAM 컨트롤을 사용하여 EFS 파일 시스템에 대한 액세스를 보호할 때는 다른 조건 키가 적용되지 않습니다.

EFS 조건 키	설명	연산자
aws:SecureTransport	이 키를 사용하여 EFS 파일 시스템에 연결할 TLS 때 클라이언트가 를 사용하도록 요구합니다.	불
aws:SourceIp	EFS 파일 시스템에 액세스하는 클라이언트의 프라이빗 IP 주소입니다.	String
elasticfilesystem:AccessPointArn	ARN 클라이언트가 연결하는 EFS 액세스 포인트의 .	String
elasticfilesystem:AccessedViaMountTarget	이 키를 사용하면 EFS 파일 시스템 탑재 대상을 사용하지 않는 클라이언트가 파일 시스템에 액세스하지 못하도록 할 수 있습니다.	불

파일 시스템 정책 예제

Amazon EFS 파일 시스템 정책의 예를 보려면 섹션을 참조하세요Amazon의 리소스 기반 정책 예제 EFSAmazon EFS.