创建要求加密所有 EFS 文件系统的 IAM 策略 - 使用 Amazon Elastic File System 加密文件数据

创建要求加密所有 EFS 文件系统的 IAM 策略

您可以创建基于身份的 IAM 策略,授权用户使用控制台、AWS CLI 或 API 仅创建加密的 Amazon EFS 文件系统。以下过程介绍如何使用 IAM 控制台创建此类策略,然后将该策略应用于您账户中的用户。

要创建 IAM 策略以强制使用加密的 EFS 文件系统,请执行以下操作:

  1. 登录 AWS 管理控制台,并打开 IAM 控制台

  2. 在导航窗格中的 Access Management(访问管理)下面,选择 Policies(策略)。

  3. 选择 Create Policy(创建策略)以显示 Create Policy(创建策略)页面。

  4. Visual Editor(可视化编辑器)选项卡中,输入以下信息。

    • 对于 Service(服务),请选择 EFS

    • 对于 Actions(操作),在搜索字段中输入 create,然后选择 CreateFileSystem

    • 对于 Request conditions(请求条件),单击 Add condition(添加条件)链接,为 Condition Key(条件键)搜索 elasticfilesystem:Encrypted,为 Operator(运算符)搜索 Bool,为 Value(值)搜索 true

  5. 为策略提供 Name(名称)和 Description(描述)。验证策略摘要,包括 Encrypted(已加密)请求条件。

  6. 选择 Create policy(创建策略)以创建策略。

要将策略应用于您账户中的用户,请执行以下操作:

  1. 在 IAM 控制台的 Access management(访问管理)下,选择 Users(用户)。

  2. 选择要应用该策略的用户。

  3. 选择 Add permissions(添加权限)以显示 Add permissions(添加权限)页面。

  4. 选择 Attach existing policies directly(直接附加现有策略)。

  5. 输入您在上一过程中创建的 EFS 策略的名称。

  6. 选择并展开策略。然后选择 {}JSON 以验证策略内容。它应该与下面的 JSON 策略类似。

    {
  “Version”: “2012-10-17”,
  “Statement”: [
    {
      “Sid”: “VisualEditior0”,
      “Effect”: “Allow”,
      “Action”: “elasticfilesystem:CreateFileSystem”,
      “Condition”: {
        “Bool”: {
          “elasticfilesystem:Encrypted”: “true”
        }
      },
      “Resource”: “*”
    }
}