Amazon EFS 基于资源的策略示例 - Amazon Elastic File System
示例:向特定 AWS 角色授予读写权限示例:授予只读访问权限示例:设置跨账户复制后,确保连接的客户端保留访问权限示例:授予对 EFS 接入点的访问权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EFS 基于资源的策略示例

在本节中,您可以找到为各种 Amazon EFS 操作授予或拒绝权限的示例文件系统策略。Amazon EFS 文件系统策略有 2 万个字符的限制。有关基于资源的策略的元素的信息,请参阅Amazon EFS 基于资源的策略

重要

如果您在文件系统策略中向单个 IAM 用户或角色授予权限,则不要在策略在文件系统上有效时删除或重新创建该用户或角色。如果这样做,该用户或角色将实际在文件系统中锁定,并且将无法访问该用户或角色。有关更多信息,请参阅《IAM 用户指南》中的指定主体

有关如何创建系统策略的信息,请参阅创建文件系统策略

示例:向特定 AWS 角色授予读写权限

在此示例中,EFS 文件系统策略具有以下特征:

  • 效果是 Allow

  • AWS 账户中的主体设置为 Testing_Role。

  • 操作设置为 ClientMount(读取)和 ClientWrite

  • 授予权限的条件设置为 AccessedViaMountTarget

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/Testing_Role"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

示例:授予只读访问权限

以下文件系统策略仅EfsReadOnly向 IAM 角色授ClientMount予或只读权限。

{
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efs-statement-example02",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"            
        }
    ]
}

要了解如何设置其他文件系统策略,包括拒绝对所有 IAM 主体(特定管理工作站除外)的根访问权限,请参阅使用 IAM 授权为 NFS 客户端启用根挤压

示例:设置跨账户复制后,确保连接的客户端保留访问权限

您可以使用以下基于资源的策略来确保连接到文件系统的所有客户端在为文件系统设置跨账户复制后仍能保持访问权限。有关跨账户复制的更多信息,请参阅 跨 AWS 账户复制 EFS 文件系统

创建策略时需要满足以下要求。

  • 使用 EFS 挂载助手来装载文件系统。如果使用 NFS 客户端装载文件系统,则连接的客户端将因服务器错误而被拒绝访问。

  • 使用装载命令中的-o iam 或-o tls 选项将您的证书传递给 EFS 挂载目标。

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
            "Condition": {
               "Bool": {
                   "elasticfilesystem:AccessedViaMountTarget": "true"
               }
           }            
        }
    ]
}

示例:授予对 EFS 接入点的访问权限

您可以使用 EFS 访问策略向 NFS 客户端提供 EFS 文件系统上基于文件的共享数据集的应用程序特定视图。您可以使用文件系统策略向访问点授予对文件系统的权限。

此文件策略示例使用条件元素向由其 ARN 标识的特定访问点授予对文件系统的完全访问权限。

有关使用 EFS 接入点的更多信息,请参阅使用 Amazon EFS 接入点工作

{
    "Id": "access-point-example03",
    "Statement": [
        {
            "Sid": "access-point-statement-example03",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"},
            "Action": "elasticfilesystem:Client*",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678",
            "Condition": { 
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } 
            }            
        }
    ]
}