AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
AWS 托管式策略:AmazonElasticFileSystemFullAccess
您可以将 AmazonElasticFileSystemFullAccess
策略附加到 IAM 身份。
此策略授予管理权限,允许完全访问 Amazon EFS 和通过 AWS Management Console访问相关 AWS 服务。
权限详细信息
该策略包含以下权限。
-
elasticfilesystem
– 允许主体在 Amazon EFS 控制台中执行所有操作。它还允许主体使用 AWS Backup 创建(elasticfilesystem:Backup
)和还原(elasticfilesystem:Restore
)备份。 -
cloudwatch
–允许主体在 Amazon EFS 控制台中描述 Amazon CloudWatch 文件系统指标和某项指标的警报。 -
ec2
– 允许主体在 Amazon EFS 控制台中创建、从中删除和描述网络接口,描述和修改网络接口属性,描述可用区、安全组、子网、虚拟私有云(VPC)和与 Amazon EFS 文件系统关联的 VPC 属性。 -
kms
– 允许主体在 Amazon EFS 控制台中列出 AWS Key Management Service(AWS KMS)密钥的别名并描述 KMS 密钥。 -
iam
– 授予创建服务相关角色的权限,允许 Amazon EFS 代表用户管理 AWS 资源。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:GetMetricData",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"elasticfilesystem:Backup",
"elasticfilesystem:CreateFileSystem",
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:CreateTags",
"elasticfilesystem:CreateAccessPoint",
"elasticfilesystem:CreateReplicationConfiguration",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget",
"elasticfilesystem:DeleteTags",
"elasticfilesystem:DeleteAccessPoint",
"elasticfilesystem:DeleteFileSystemPolicy",
"elasticfilesystem:DeleteReplicationConfiguration",
"elasticfilesystem:DescribeAccountPreferences",
"elasticfilesystem:DescribeBackupPolicy",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeFileSystemPolicy",
"elasticfilesystem:DescribeLifecycleConfiguration",
"elasticfilesystem:DescribeMountTargets",
"elasticfilesystem:DescribeMountTargetSecurityGroups",
"elasticfilesystem:DescribeReplicationConfigurations",
"elasticfilesystem:DescribeTags",
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:ModifyMountTargetSecurityGroups",
"elasticfilesystem:PutAccountPreferences",
"elasticfilesystem:PutBackupPolicy",
"elasticfilesystem:PutLifecycleConfiguration",
"elasticfilesystem:PutFileSystemPolicy",
"elasticfilesystem:UpdateFileSystem",
"elasticfilesystem:UpdateFileSystemProtection",
"elasticfilesystem:TagResource",
"elasticfilesystem:UntagResource",
"elasticfilesystem:ListTagsForResource",
"elasticfilesystem:Restore",
"kms:DescribeKey",
"kms:ListAliases"
],
"Sid": "ElasticFileSystemFullAccess",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "iam:CreateServiceLinkedRole",
"Sid": "CreateServiceLinkedRoleForEFS",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"elasticfilesystem.amazonaws.com"
]
}
}
}
]
}
AWS 托管式策略:AmazonElasticFileSystemReadOnlyAccess
您可以将 AmazonElasticFileSystemReadOnlyAccess
策略附加到 IAM 身份。
此策略授予通过 AWS Management Console对 Amazon EFS 的只读访问权限。
权限详细信息
该策略包含以下权限。
-
elasticfilesystem
– 允许主体在 Amazon EFS 控制台中描述 Amazon EFS 文件系统的属性,包括账户首选项、备份和文件系统策略、生命周期配置、挂载目标及其安全组、标签和接入点。 -
cloudwatch
– 允许主体在 Amazon EFS 控制台中检索 CloudWatch 指标,并描述某项指标的警报。 -
ec2
– 允许主体在 Amazon EFS 控制台中查看可用区、网络接口及其属性、安全组、子网、VPC 及其属性。 -
kms
– 允许主体在 Amazon EFS 控制台中列出 AWS KMS 密钥的别名。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ElasticFileSystemReadOnlyAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:GetMetricData",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"elasticfilesystem:DescribeAccountPreferences",
"elasticfilesystem:DescribeBackupPolicy",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeFileSystemPolicy",
"elasticfilesystem:DescribeLifecycleConfiguration",
"elasticfilesystem:DescribeMountTargets",
"elasticfilesystem:DescribeMountTargetSecurityGroups",
"elasticfilesystem:DescribeTags",
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeReplicationConfigurations",
"elasticfilesystem:ListTagsForResource",
"kms:ListAliases"
],
"Resource": "*"
}
]
}
AWS 托管式策略:AmazonElasticFileSystemClientReadWriteAccess
可以将 AmazonElasticFileSystemClientReadWriteAccess
策略附加到 IAM 实体。
此策略授予客户端对 Amazon EFS 文件系统的读写访问权限。此策略允许 NFS 客户端挂载、读取和写入 Amazon EFS 文件系统。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
}
]
}
AWS 托管式策略的 Amazon EFS 更新
查看有关 Amazon EFS 的 AWS 托管式策略的更新的详细信息(此服务开始跟踪这些更改)。要获得有关此页面更改的自动提示,请订阅 Amazon EFS 文档历史记录 页面上的 RSS 源。
更改 | 描述 | 日期 |
---|---|---|
对现有策略的更新 |
策略:AmazonElasticFileSystemReadOnlyAccess Amazon EFS 在策略声明中添加了 |
2024 年 8 月 7 日 |
更新现有策略 |
策略:AmazonElasticFileSystemFullAccess Amazon EFS 添加了一项新权限,以允许主体禁用和启用文件系统的保护。需要这些权限才能允许 Amazon EFS 复制到现有文件系统。 |
2023 年 11 月 27 日 |
更新现有策略 |
策略:AmazonElasticFileSystemServiceRolePolicy Amazon EFS 添加了新的权限,允许主体创建、描述和删除 Amazon EFS 副本,以及创建 Amazon EFS 文件系统。需要这些权限才能允许 Amazon EFS 代表用户管理文件系统复制配置。 |
2022 年 1 月 25 日 |
对现有策略的更新 |
策略:AmazonElasticFileSystemReadOnlyAccess Amazon EFS 添加了一项新权限,允许主体描述 Amazon EFS 复制。需要这些权限才能允许用户查看文件系统复制配置。 |
2022 年 1 月 25 日 |
对现有策略的更新 |
策略:AmazonElasticFileSystemFullAccess Amazon EFS 添加了新的权限,允许主体创建、描述和删除 Amazon EFS 复制。需要这些权限才能允许用户管理文件系统复制配置。 |
2022 年 1 月 25 日 |
已开启跟踪策略 |
策略:AmazonElasticFileSystemClientReadWriteAccess 向 NFS 客户端授予对 Amazon EFS 文件系统的读写权限。 |
2022 年 1 月 3 日 |
已开启跟踪策略 |
策略:AmazonElasticFileSystemServiceRolePolicy Amazon EFS 的服务相关角色权限。 |
2021 年 10 月 8 日 |
对现有策略的更新 |
策略:AmazonElasticFileSystemFullAccess Amazon EFS 添加了新权限,允许主体修改和描述 Amazon EFS 账户首选项。需要这些权限才能允许用户在 Amazon EFS 控制台中查看和设置账户首选项设置。 |
2021 年 5 月 7 日 |
对现有策略的更新 |
策略:AmazonElasticFileSystemReadOnlyAccess Amazon EFS 添加了新权限,允许主体描述 Amazon EFS 账户首选项。需要这些权限才能允许用户在 Amazon EFS 控制台中查看账户首选项设置。 |
2021 年 5 月 7 日 |
Amazon EFS 已开始跟踪更改 |
Amazon EFS 已开始跟踪其 AWS 托管式策略的更改。 |
2021 年 5 月 7 日 |