Passo a passo: habilite o root squashing usando a autorização do IAM para clientes NFS - Amazon Elastic File System

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Passo a passo: habilite o root squashing usando a autorização do IAM para clientes NFS

Neste passo a passo, você configura o Amazon EFS para impedir o acesso root ao seu sistema de arquivos do Amazon EFS para todos osAWS diretores, exceto para uma única estação de trabalho de gerenciamento. Você faz isso configurando a autorizaçãoAWS Identity and Access Management (IAM) para clientes do Sistema de Arquivos de Rede (NFS). Para obter mais informações sobre a autorização do IAM para clientes NFS no EFS, consulte Usando o IAM para controlar o acesso aos dados do sistema de arquivos.

Para fazer isso, é necessário configurar duas políticas de permissões do IAM, da seguinte forma:

  • Crie uma política de sistema de arquivos do EFS que permita explicitamente o acesso de leitura e gravação ao sistema de arquivos e negue implicitamente o acesso raiz.

  • Atribua uma identidade do IAM à estação de trabalho de gerenciamento do Amazon EC2 que exija acesso root ao sistema de arquivos usando um perfil de instância do Amazon EC2. Para obter mais informações sobre perfis de instância do Amazon EC2, consulte Usando perfis de instância no GuiaAWS Identity and Access Management do usuário.

  • Atribua a política AmazonElasticFileSystemClientFullAccess gerenciada pela AWS à função do IAM da estação de trabalho de gerenciamento. Para obter mais informações sobre políticasAWS gerenciadas para EFS, consulteGerenciamento de identidade e acesso no Amazon Elastic File System.

Para habilitar o extermínio de raiz usando autorização do IAM para clientes NFS, use os procedimentos a seguir.

Para impedir o acesso root ao sistema de arquivos

  1. Abra o console do Amazon Elastic File System em https://console.aws.amazon.com/efs/.

  2. Escolha Sistemas de arquivos.

  3. Em File systems (Sistemas de arquivos), escolha o sistema de arquivos no qual deseja habilitar o extermínio de raiz.

  4. Na página de detalhes do sistema de arquivos, escolha Política do sistema de arquivos e escolha Editar. A página File system policy (Política de sistema de arquivos) é exibida.

    Página de política do sistema de arquivos para editar e salvar a política do sistema de arquivos.

  5. Escolha Impedir acesso root por padrão* em Opções de política. O objeto JSON da política aparece no editor de políticas.

  6. Escolha Save (Salvar) para salvar a política de sistema de arquivos.

Clientes não anônimos podem obter acesso raiz ao sistema de arquivos por meio de uma política baseada em identidade. Quando você anexa a políticaAmazonElasticFileSystemClientFullAccess gerenciada à função da estação de trabalho, o IAM concede acesso root à estação de trabalho com base em sua política de identidade.

Como habilitar o acesso raiz da estação de trabalho de gerenciamento

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. criar um perfil para o perfil do perfil para o Amazon EC2 oum perfilEFS-client-root-access para o O IAM cria um perfil de instância com o mesmo nome da função do EC2 que você criou.

  3. Atribua a política AmazonElasticFileSystemClientFullAccess gerenciada pela AWS à função do EC2 criada. O conteúdo dessa política é mostrado a seguir.

    {
    "Version”: "2012-10-17",
    "Statement": [
     {
         "Effect": "Allow",
         "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientRootAccess",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:DescribeMountTargets"
         ],
         "Resource": "*"
     }
 ]
}

  4. Associe o perfil de instância à instância do EC2 que você está usando como estação de trabalho de gerenciamento, conforme descrito a seguir. Para obter mais informações, consulte Anexar uma função do IAM a uma instância no Guia do usuário do Amazon EC2 para instâncias do Linux.

    1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

    2. No painel de navegação, escolha Instances (Instâncias).

    3. Escolha a instância. Em Actions (Ações), escolha Instance Settings (Configurações de instância), e, depois, escolha Attach/Replace IAM role (Associar/substituir função do IAM).

    4. Selecione a função do IAM criada na primeira etapa, EFS-client-root-access e escolha Apply (Aplicar).

  5. Instale o assistente de montagem do EFS na estação de trabalho de gerenciamento. Para obter mais informações sobre o auxiliar de montagem do EFS e o amazon-efs-utils pacote, consulteInstalação das ferramentas do Amazon EFS.

  6. Monte o sistema de arquivos do EFS na estação de trabalho de gerenciamento usando o comando a seguir com a opção de montagem iam:

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Você pode configurar a instância do Amazon EC2 para montar automaticamente o sistema de arquivos com autorização do IAM. Para obter mais informações sobre a montagem de um sistema de arquivos do EF com a autorização do para obter mais informações sobre a montagem de um sistemaMontar com autorização do IAM de arquivos