# 创建文件系统策略
<a name="s3-files-file-system-policies-creating"></a>

您可以使用文件系统策略来授予或拒绝 NFS 客户端在文件系统上执行挂载、写入和根访问等操作的权限。文件系统要么具有一个空（默认）的文件系统策略，要么只有一个显式策略。创建文件系统后，您可以随时使用 Amazon 管理控制台、Amazon CLI 或 Amazon SDK 更新文件系统策略。

可以使用 Amazon S3 控制台、Amazon CLI、通过 Amazon SDK 以编程方式或直接使用 S3 Files API 来更新文件系统策略。这些策略更改可能需要几分钟才能生效。S3 文件系统策略有 20000 个字符的限制。有关使用 S3 文件系统策略、支持的操作、支持的条件键和示例的更多信息，请参阅 [S3 Files 如何与 IAM 结合使用](s3-files-security-iam.md)。

## 使用 S3 控制台
<a name="s3-files-file-system-policies-creating-console"></a>

本节介绍如何使用 Amazon S3 控制台为 S3 Files 创建文件系统策略。

1. 登录 Amazon 管理控制台并在 [https://console.aws.amazon.com/s3/](https://console.amazonaws.cn/s3/) 中打开 Amazon S3 控制台。

1. 在页面顶部的导航栏中，确认您位于文件系统所在的 Amazon 区域中。

1. 在左侧导航窗格中，选择**文件系统**。

1. 选择所需的文件系统。

1. 选择**权限**选项卡，然后选择**编辑**。

1. 可以使用策略编辑器来添加您自己的文件系统策略。

1. 编辑完策略后，选择**保存**。

## 使用 Amazon CLI
<a name="s3-files-file-system-policies-creating-cli"></a>

以下 `put-file-system-policy` 示例命令显示如何使用 Amazon CLI 来为 S3 Files 创建文件系统策略。以下文件系统策略仅向 `ReadOnly` IAM 角色授予 `ClientMount`（只读）权限。将示例 Amazon 账户 ID {{111122223333}} 替换为您的 Amazon 账户 ID。

```
aws s3files put-file-system-policy --file-system-id {{file-system-id}} --policy '{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:role/ReadOnly"
            },
            "Action": [
                "s3files:ClientMount"
            ]
        }
    ]
}'
```