Amazon EFS 的 AWS 受管政策 - Amazon Elastic File System
AmazonElasticFileSystemFullAccessAmazonElasticFileSystemReadOnlyAccessAmazonElasticFileSystemClientReadWrite存取政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EFS 的 AWS 受管政策

AWS 管理的政策是由 AWS 建立和管理的獨立政策。AWS 管理的政策的設計在於為許多常見使用案例提供許可,如此您就可以開始將許可指派給使用者、群組和角色。

請謹記,AWS 管理的政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法更改 AWS 管理的政策中定義的許可。如果 AWS 更新 AWS 管理的政策中定義的許可,更新會影響政策連接的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務 或有新的 API 操作可供現有服務使用時,AWS 很可能會更新 AWS 管理的政策。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS受管理的策略: AmazonElasticFileSystemFullAccess

您可將 AmazonElasticFileSystemFullAccess 政策連接到 IAM 身分。

此政策會授予管理許可,該許可允許通過 AWS Management Console 將政策完整存取到 Amazon EFS 和相關的 AWS 服務中。

許可詳細資訊

此政策包含以下許可。

  • elasticfilesystem:允許主體在 Amazon EFS 主控台中執行所有動作。也允許主體使用 AWS Backup 建立 (elasticfilesystem:Backup) 和還原 (elasticfilesystem:Restore) 備份。

  • cloudwatch— 允許校長在 Amazon EFS 主控台中描述 Amazon CloudWatch 檔案系統指標和指標的警示。

  • ec2:允許主體在 Amazon EFS 主控台中建立、刪除和描述網路介面、描述和修改網路介面屬性、描述「可用區域」、安全群組、子網路、虛擬私有雲端 (VPC) 和與 Amazon EFS 檔案系統相關聯的 VPC 屬性。

  • kms:允許主體列出 AWS Key Management Service (AWS KMS) 金鑰的別名,並在 Amazon EFS 主控台中描述 KMS 金鑰。

  • iam:授予建立服務連結角色的許可,以允許 Amazon EFS 代表使用者管理 AWS 資源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:GetMetricData",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute",
                "elasticfilesystem:Backup",
                "elasticfilesystem:CreateFileSystem",
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:CreateTags",
                "elasticfilesystem:CreateAccessPoint",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget",
                "elasticfilesystem:DeleteTags",
                "elasticfilesystem:DeleteAccessPoint",
                "elasticfilesystem:DeleteFileSystemPolicy",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:DescribeAccountPreferences",
                "elasticfilesystem:DescribeBackupPolicy",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeFileSystemPolicy",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeMountTargetSecurityGroups",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DescribeTags",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:ModifyMountTargetSecurityGroups",
                "elasticfilesystem:PutAccountPreferences",
                "elasticfilesystem:PutBackupPolicy",
                "elasticfilesystem:PutLifecycleConfiguration",
                "elasticfilesystem:PutFileSystemPolicy",
                "elasticfilesystem:UpdateFileSystem",
                "elasticfilesystem:UpdateFileSystemProtection",
                "elasticfilesystem:TagResource",
                "elasticfilesystem:UntagResource",
                "elasticfilesystem:ListTagsForResource",                
                "elasticfilesystem:Restore",
                "kms:DescribeKey",
                "kms:ListAliases"
            ],

            "Sid": "ElasticFileSystemFullAccess",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Sid": "CreateServiceLinkedRoleForEFS",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "elasticfilesystem.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AWS受管理的策略: AmazonElasticFileSystemReadOnlyAccess

您可將 AmazonElasticFileSystemReadOnlyAccess 政策連接到 IAM 身分。

此政策通過 AWS Management Console 授予對 Amazon SageMaker 的只讀存取權。

許可詳細資訊

此政策包含以下許可。

  • elasticfilesystem:允許主體在 Amazon EFS 主控台描述 Amazon EFS 檔案系統的屬性,包括帳戶偏好、備份和檔案系統政策、生命週期組態、掛載目標及其安全群組、標籤和存取點。

  • cloudwatch— 允許主體在 Amazon EFS 主控台擷取 CloudWatch 指標並描述指標的警示。

  • ec2:允許主體在 Amazon EFS 主控台中檢視「可用區域」、網路介面及其屬性、安全群組、子網路、VPC 及其屬性。

  • kms:允許主體在 Amazon EFS 主控台中列出 AWS KMS 金鑰別名。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:GetMetricData",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcs",
                "elasticfilesystem:DescribeAccountPreferences",
                "elasticfilesystem:DescribeBackupPolicy",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeFileSystemPolicy",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeMountTargetSecurityGroups",                
                "elasticfilesystem:DescribeTags",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:ListTagsForResource",
                "kms:ListAliases"
            ],
            
            "Resource": "*"
        }
    ]
}

AWS受管政策: AmazonElasticFileSystemClientReadWrite存取

您可以將 AmazonElasticFileSystemClientReadWriteAccess 政策附加到 IAM 身分中。

此政策會授予 Amazon EFS 檔案系統的讀寫用戶端存取權。此政策允許 NFS 用戶端掛載、讀取和寫入到 Amazon EFS 檔案系統中。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        }
    ]
}

Amazon EFS 的 AWS 受管政策更新

檢視自 Amazon EFS 開始追蹤其 AWS 受管政策變更以來的政策更新詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon EFS 文件歷史紀錄 頁面的 RSS 摘要。

變更 描述 日期

更新至現有政策

 政策:AmazonElasticFileSystemFullAccess

Amazon EFS 新增許可,以允許主體在檔案系統上停用和啟用保護。需要許可才能允許 Amazon EFS 複寫到現有檔案系統中。

 2023 年 11 月 27 日

更新至現有政策

政策:AmazonElasticFileSystemServiceRolePolicy

Amazon EFS 新增許可,以允許主體建立、描述和刪除 Amazon EFS 複寫,以及建立 Amazon EFS 檔案系統。需要許可才能允許 Amazon EFS 代表使用者管理檔案系統複寫組態。

 2022 年 1 月 25 日

更新至現有政策

政策:AmazonElasticFileSystemReadOnlyAccess

Amazon EFS 新增許可,以允許主體描述 Amazon EFS 複寫。需要許可才能允許使用者檢視檔案系統複寫組態。

 2022 年 1 月 25 日
更新至現有政策

政策:AmazonElasticFileSystemFullAccess

Amazon EFS 新增許可,以允許主體建立、描述和刪除 Amazon EFS 複寫。需要許可才能允許使用者管理檔案系統複寫組態。

 2022 年 1 月 25 日

開始追蹤政策

政策:AmazonElasticFileSystemClientReadWrite存取

授與 NFS 用戶端在 Amazon EFS 檔案系統上讀取和寫入的權限。

 2022 年 1 月 3 日

開始追蹤政策

 政策:AmazonElasticFileSystemServiceRolePolicy

Amazon EFS 的服務連結角色許可

2021 年 10 月 8 日

更新至現有政策

政策:AmazonElasticFileSystemFullAccess

Amazon EFS 新增許可,以允許主體修改和描述 Amazon EFS 帳戶偏好。需要許可才能允許使用者在 Amazon EFS 主控台中檢視和設定帳戶偏好設定。

 2021 年 5 月 7 日

更新至現有政策

政策:AmazonElasticFileSystemReadOnlyAccess

Amazon EFS 新增許可,以允許主體描述 Amazon EFS 帳戶偏好。需要許可才能允許使用者在 Amazon EFS 主控台中檢視帳戶偏好設定。

 2021 年 5 月 7 日

Amazon EFS 開始追蹤變更

Amazon EFS 開始追蹤其 AWS 受管政策的變更

 2021 年 5 月 7 日