As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Passo a passo: habilite o root squashing usando a autorização do IAM para clientes NFS
Neste passo a passo, você configura o Amazon EFS para impedir o acesso root ao seu sistema de arquivos do Amazon EFS para todos osAWS diretores, exceto para uma única estação de trabalho de gerenciamento. Você faz isso configurando a autorizaçãoAWS Identity and Access Management (IAM) para clientes do Sistema de Arquivos de Rede (NFS). Para obter mais informações sobre a autorização do IAM para clientes NFS no EFS, consulte Usando o IAM para controlar o acesso aos dados do sistema de arquivos.
Para fazer isso, é necessário configurar duas políticas de permissões do IAM, da seguinte forma:
-
Crie uma política de sistema de arquivos do EFS que permita explicitamente o acesso de leitura e gravação ao sistema de arquivos e negue implicitamente o acesso raiz.
-
Atribua uma identidade do IAM à estação de trabalho de gerenciamento do Amazon EC2 que exija acesso root ao sistema de arquivos usando um perfil de instância do Amazon EC2. Para obter mais informações sobre perfis de instância do Amazon EC2, consulte Usando perfis de instância no GuiaAWS Identity and Access Management do usuário.
-
Atribua a política
AmazonElasticFileSystemClientFullAccess
gerenciada pela AWS à função do IAM da estação de trabalho de gerenciamento. Para obter mais informações sobre políticasAWS gerenciadas para EFS, consulteGerenciamento de identidade e acesso no Amazon Elastic File System.
Para habilitar o extermínio de raiz usando autorização do IAM para clientes NFS, use os procedimentos a seguir.
Para impedir o acesso root ao sistema de arquivos
Abra o console do Amazon Elastic File System em https://console.aws.amazon.com/efs/
. Escolha Sistemas de arquivos.
Em File systems (Sistemas de arquivos), escolha o sistema de arquivos no qual deseja habilitar o extermínio de raiz.
-
Na página de detalhes do sistema de arquivos, escolha Política do sistema de arquivos e escolha Editar. A página File system policy (Política de sistema de arquivos) é exibida.
-
Escolha Impedir acesso root por padrão* em Opções de política. O objeto JSON da política aparece no editor de políticas.
Escolha Save (Salvar) para salvar a política de sistema de arquivos.
Clientes não anônimos podem obter acesso raiz ao sistema de arquivos por meio de uma política baseada em identidade. Quando você anexa a políticaAmazonElasticFileSystemClientFullAccess
gerenciada à função da estação de trabalho, o IAM concede acesso root à estação de trabalho com base em sua política de identidade.
Como habilitar o acesso raiz da estação de trabalho de gerenciamento
Abra o console do IAM em https://console.aws.amazon.com/iam/
. criar um perfil para o perfil do perfil para o Amazon EC2 oum perfil
EFS-client-root-access
para o O IAM cria um perfil de instância com o mesmo nome da função do EC2 que você criou.Atribua a política
AmazonElasticFileSystemClientFullAccess
gerenciada pela AWS à função do EC2 criada. O conteúdo dessa política é mostrado a seguir.{ "Version”: "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientRootAccess", "elasticfilesystem:ClientWrite", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" } ] }
Associe o perfil de instância à instância do EC2 que você está usando como estação de trabalho de gerenciamento, conforme descrito a seguir. Para obter mais informações, consulte Anexar uma função do IAM a uma instância no Guia do usuário do Amazon EC2 para instâncias do Linux.
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/
. No painel de navegação, escolha Instances (Instâncias).
Escolha a instância. Em Actions (Ações), escolha Instance Settings (Configurações de instância), e, depois, escolha Attach/Replace IAM role (Associar/substituir função do IAM).
Selecione a função do IAM criada na primeira etapa,
EFS-client-root-access
e escolha Apply (Aplicar).
Instale o assistente de montagem do EFS na estação de trabalho de gerenciamento. Para obter mais informações sobre o auxiliar de montagem do EFS e o amazon-efs-utils pacote, consulteInstalação das ferramentas do Amazon EFS.
Monte o sistema de arquivos do EFS na estação de trabalho de gerenciamento usando o comando a seguir com a opção de montagem
iam
:$
sudo mount -t efs -o tls,iamfile-system-id
:/efs-mount-point
Você pode configurar a instância do Amazon EC2 para montar automaticamente o sistema de arquivos com autorização do IAM. Para obter mais informações sobre a montagem de um sistema de arquivos do EF com a autorização do para obter mais informações sobre a montagem de um sistemaMontar com autorização do IAM de arquivos