使用 IAM 控制檔案系統資料存取

您可以採取一種適用於雲端環境可擴充和最佳化的方式，使用 IAM 身分政策和資源政策來控制用戶端對 Amazon EFS 資源的存取。您可以使用 IAM，允許用戶端在檔案系統上執行特定動作，包括唯讀、寫入和根存取。IAM 身分識別政策或檔案系統資源政策中的動作具有「允許」許可，可允許存取該動作。身分識別和資源政策均不需要同時授與許可。

NFS 用戶端可以在連線到 EFS 檔案系統時，使用 IAM 角色來識別自己。當用戶端連線至檔案系統時，Amazon EFS 會評估檔案系統中稱為檔案系統政策的 IAM 資源政策，以及任何身分型 IAM 政策，以決定要授予的適當檔案系統存取權限。

使用 NFS 用戶端的 IAM 授權時，用戶端連線和 IAM 授權決策會紀錄於 AWS CloudTrail。如需如何使用記錄 Amazon EFS API 呼叫的詳細資訊 CloudTrail，請參閱使用記錄亞馬遜 EFS API 呼叫 AWS CloudTrail。

重要

您必須使用 EFS 掛載協助程式掛載 Amazon EFS 檔案系統，才能使用 IAM 授權來控制用戶端的存取權。如需詳細資訊，請參閱 使用 IAM 授權掛載。

預設 EFS 檔案系統政策

預設的 EFS 檔案系統政策不使用 IAM 進行驗證，並且會將完全存取權授予任何可以使用掛載目標連線至檔案系統的匿名用戶端。每當使用者設定的檔案系統政策未生效時，預設政策就會生效，包括在建立檔案系統時。每當預設檔案系統政策生效時，DescribeFileSystemPolicy API 操作便會傳回 PolicyNotFound 回應。

用戶端的 EFS 動作

您可以使用檔案系統政策，為存取檔案系統的用戶端指定下列動作。

動作	描述
elasticfilesystem:ClientMount	提供檔案系統的唯讀存取權。
elasticfilesystem:ClientWrite	在檔案系統上提供具有寫入權限。
elasticfilesystem:ClientRootAccess	存取檔案系統時，提供使用根使用者的功能。

用戶端的 EFS 條件金鑰

欲表示條件，您可以使用預先定義的條件金鑰。Amazon EFS 為 NFS 用戶端提供下列預先定義的條件金鑰。使用 IAM 控制安全存取 EFS 檔案系統時，不會強制執行任何其他條件金鑰。

EFS 條件金鑰	描述	運算子
aws:SecureTransport	在連線到 EFS 檔案系統時，使用此金鑰要求用戶端使用 TLS。	Boolean
aws:SourceIp	存取 EFS 檔案系統之用戶端的私人 IP 位址。	字串
elasticfilesystem:AccessPointArn	用戶端連線到的 EFS 存取點 ARN。	字串
elasticfilesystem:AccessedViaMountTarget	客戶端未使用檔案系統掛載目標時，可使用此金鑰防止其存取到 EFS 檔案系統中。	Boolean

檔案系統政策範例

若要檢視 Amazon EFS 檔案系統政策範例，請參閱 Amazon Elastic File System 的資源型政策範例。