本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Elastic File System 的資源型政策範例
在本節中,您可以找到授予或拒絕各種 Amazon EFS 動作許可的範例檔案系統政策。Amazon EFS 檔案系統政策字元限制在 20,000 以内。如需資訊行政策元素的資訊,請參閱 Amazon EFS 中的資源型政策。
重要
如您將許可授予給檔案系統政策中的個別 IAM 使用者或角色,則請勿在該政策於檔案系統有效期間內刪除或重新建立該使用者或角色。如果上述情況發生,該使用者或角色將遭檔案系統鎖定,且將無法存取。如需詳細資訊,請參閱《IAM 使用者指南》中的指定主體。
如需關於如何建立檔案系統政策的詳細資訊,請參閱 建立檔案系統原則。
範例:授與特定 AWS 角色的讀取和寫入存取權
在此範例中,EFS 檔案系統政策具有下列特性:
-
效果是
Allow
。 -
主體設定為在 AWS 帳戶 中的 Testing_Role。
-
動作設定為
ClientMount
(可讀) 和ClientWrite
。 -
授與許可的條件設定為
AccessedViaMountTarget
。
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
範例:授予只讀存取權
下列檔案系統政策僅授予 ClientMount
EfsReadOnly IAM 角色或唯讀許可。
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
若要了解如何設定其他檔案系統政策,包括拒絕對所有 IAM 主體的根存取權 (特定管理工作站除外),請參閱 逐步解說:使用 NFS 用戶端的 IAM 授權啟用根擠壓。
範例:授予 EFS 存取點存取權
您可以使用 EFS 存取政策,為 NFS 客戶端提供應用程式專屬的檢視,以查看 EFS 檔案系統中以共用檔案為基礎的資料集。您可以使用檔案系統政策授予檔案系統上的存取點權限。
此檔案政策範例使用條件元素來授予特定存取點,該存取點由其 ARN 對檔案系統的完整存取權限識別。
如需關於使用 EFS 存取點的詳細資訊,請參閱 使用 Amazon EFS 存取點。
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }