阻止公有访问 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

阻止公有访问

Amazon EFS 阻止公有访问功能提供帮助您管理对 Amazon EFS 文件系统的公有访问的设置。默认情况下,新 Amazon EFS 文件系统不允许公有访问。但是,您可以修改文件系统策略以允许公有访问。

使用阻止公有访问Amazon Transfer Family

当您将亚马逊 EFS 与Amazon Transfer Family时,如果文件系统允许公共访问,则从与文件系统不同的帐户拥有的传输系统服务器接收的文件系统访问请求将被阻止。Amazon EFS 会评估文件系统的 IAM 策略,如果策略为公共策略,则会阻止请求。允许Amazon Transfer Family访问您的文件系统,请更新您的文件系统策略,使其不被视为公共策略。

注意

默认情况下,将 “Transfer Family” 与 Amazon EFS 一起使用Amazon Web Services 账户具有允许 2021 年 1 月 6 日之前创建的公共访问策略的 EFS 文件系统。要启用 “Transfer Family” 访问您的文件系统,请联系AmazonSupport。

“公有”的含义

在评估文件系统是否允许公共访问时,Amazon EFS 假定文件系统策略是公用的。然后对文件系统策略进行评估,以确定它是否符合非公有条件。要将文件系统策略视为非公有,必须仅授予对以下一个或多个固定值(不包含通配符的值)的访问权限:

  • 一组无类域间路由 (CIDR),使用 aws:SourceIp。有关 CIDR 的更多信息,请参阅 RFC 编辑器网站上的 RFC 4632

  • 网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon委托人、用户、角色或服务委托人(例如aws:PrincipalOrgID

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

根据这些规则,以下示例策略被视为公有。

{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ] } ] }

您可以使用 EFS 条件键使此文件系统策略非公开elasticfilesystem:AccessedViaMountTarget将设置为 true。您可以使用elasticfilesystem:AccessedViaMountTarget以允许使用文件系统装载目标访问 EFS 文件系统的客户端执行指定的 EFS 操作。以下非公共策略使用elasticfilesystem:AccessedViaMountTarget将设置为 true。

{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }

有关 Amazon EFS 条件键的更多信息,请参阅用于客户端的 EFS 条件密钥。有关创建文件系统策略的更多信息,请参阅创建文件系统策略