建立需要加密所有 EFS 檔案系統的 IAM 政策 - 使用 Amazon Elastic File System 加密檔案資料

建立需要加密所有 EFS 檔案系統的 IAM 政策

您可以建立以 IAM 身分區分的政策,授權使用者使用主控台、AWS CLI 或 API 時,只能建立加密的 Amazon EFS 檔案系統。下列程序描述如何使用 IAM 主控台建立此類政策,然後再將該政策套用至您帳戶中的使用者。

建立強制執行加密 EFS 檔案系統的 IAM 政策:

  1. 登入 AWS 管理主控台,並開啟 IAM 主控台

  2. 在導覽窗格的 Access management (存取管理) 下,選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策),隨即會顯示 Create policy (建立政策) 頁面。

  4. Visual Editor (視覺化編輯器) 標籤中,輸入下列資訊。

    • 針對服務,請選擇 EFS

    • 針對動作,請在搜尋欄位中輸入 create,然後選擇 CreateFileSystem (建立檔案系統)。

    • 針對 請求條件,請按一下 Add condition (新增條件) 連結,對 Condition Key (條件金鑰) 搜索 elasticfilesystem:Encrypted、對 Operator (運算子) 搜尋 Bool,以及對 Value (值) 搜尋 true

  5. 提供該政策的名稱描述。確認政策摘要,包括 Encrypted (加密) 請求條件。

  6. 選擇 Create policy (建立政策),以建立政策。

對帳戶中的使用者套用政策:

  1. 在 IAM 主控台中的 Access management (存取管理) 下,選擇 Users (使用者)。

  2. 選取要套用該政策的使用者。

  3. 選擇 Add permissions (新增許可),隨即會顯示 Add permissions (新增許可) 頁面。

  4. 選擇 Attach existing policies directly (直接連接現有政策)。

  5. 輸入您於上一個程序中所建立的 EFS 政策名稱。

  6. 選取並展開該政策。然後選擇 {}JSON,以確認該政策的內容。看起來應該像下列 JSON 政策。

    {
  “Version”: “2012-10-17”,
  “Statement”: [
    {
      “Sid”: “VisualEditior0”,
      “Effect”: “Allow”,
      “Action”: “elasticfilesystem:CreateFileSystem”,
      “Condition”: {
        “Bool”: {
          “elasticfilesystem:Encrypted”: “true”
        }
      },
      “Resource”: “*”
    }
}