本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
逐步解說:使用 NFS 用戶端的 IAM 授權啟用根擠壓
在本逐步解說中,您將設定 Amazon EFS 以防止所有AWS主體的根目錄存取 Amazon EFS 檔案系統,但單一管理工作站除外。您可以透過為網路檔案系統AWS Identity and Access Management (NFS) 用戶端設定 (IAM) 授權來執行此操作。如需 EFS 中 NFS 用戶端 IAM 授權的詳細資訊,請參閱使用 IAM 控制檔案系統資料存取。
若要執行這項操作,需要設定兩個 IAM 許可政策,如下所示:
-
建立 EFS 檔案系統政策,此政策會明確允許檔案系統的讀取和寫入存取權,並隱含拒絕根存取權。
-
使用 Amazon EC2 執行個體設定檔,將 IAM 身分指派給需要檔案系統根存取權的 Amazon EC2 管理工作站。如需 Amazon EC2 執行個體設定檔的詳細資訊,請參閱使用AWS Identity and Access Management者指南中的使用執行個體設定檔。
-
將
AmazonElasticFileSystemClientFullAccess
AWS 受管理政策指派給管理工作站的 IAM 角色。如需 EFSAWS 受管政策的詳細資訊,請參閱Amazon Elastic File System 的身分與存取管理。
若要針對 NFS 用戶端使用 IAM 授權來啟用根權限壓縮,請使用下列程序。
若要防止 root 存取檔案系統
開啟 Amazon Elastic File System 主控台,網址為 https://console.aws.amazon.com/efs/
。 選擇檔案系統。
在 File systems (檔案系統) 頁面上,選擇您要啟用根權限壓縮的檔案系統。
-
在 [檔案系統詳細資料] 頁面上,選擇 [檔案系統原則],然後選擇 [編輯]。File system policy (檔案系統政策) 頁面隨即顯示。
-
選擇 [原則選項] 下的 [預設防止 root 存取權限] *。原則 JSON 物件會顯示在 [原則編輯器] 中。
選擇 Save (儲存) 以儲存檔案系統政策。
非匿名用戶端可以透過以身分為基礎的政策取得檔案系統的根存取權。當您將AmazonElasticFileSystemClientFullAccess
受管政策附加到工作站的角色時,IAM 會根據工作站的身分識別政策授予工作站的 root 存取權。
透過管理工作站啟用根存取權
前往網址 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 建立 Amazon EC2 EC2 的大型
EFS-client-root-access
。IAM 建立與您建立的 EC2 角色名稱相同的執行個體設定檔。將 AWS 受管政策指派
AmazonElasticFileSystemClientFullAccess
給您建立的 EC2 角色。本政策的內容如下所示。{ "Version”: "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientRootAccess", "elasticfilesystem:ClientWrite", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" } ] }
將執行個體描述檔連接至您用來做為管理工作站的 EC2 執行個體,如下所述。如需詳細資訊,請參閱《適用於 Linux 執行個體的 Amazon EC2 使用者指南》中的可用的執行個體類型。
在 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 在導覽窗格中,選擇 Instances (執行個體)。
選擇執行個體。針對 Actions (動作),選擇 Instance Settings (執行個體設定),然後選擇 Attach/Replace IAM role (連接/取代 IAM 角色)。
選擇您在第一個步驟中建立的 IAM 角色
EFS-client-root-access
,然後選擇 Apply (套用)。
在管理工作站上安裝 EFS 掛載協助程式。如需 EFS 掛載協助程式和 amazon-efs-utils 套件的詳細資訊,請參閱安裝 Amazon EFS 工具。
透過使用下列命令搭配
iam
掛載選項,在管理工作站上掛載 EFS 檔案系統。$
sudo mount -t efs -o tls,iamfile-system-id
:/efs-mount-point
您可以將 Amazon EC2 執行個體設定為使用 IAM 授權自動掛接檔案系統。如需詳細 EFS 訊,請參閱使用 IAM 授權掛載。