阻止公众访问 Amazon EFS 文件系统 - Amazon Elastic File System
使用 Amazon Transfer Family阻止公有访问“公有”的含义
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

阻止公众访问 Amazon EFS 文件系统

Amazon EFS 阻止公有访问功能提供设置来帮助您管理对 Amazon EFS 文件系统的公有访问。默认情况下,新的 Amazon EFS 文件系统不允许公有访问。但是,您可以修改文件系统策略以允许公有访问。

重要

启用阻止公共访问权限可防止通过直接附加到文件系统的资源策略授予公共访问权限,从而帮助保护您的资源。除了启用“屏蔽公共访问权限”之外,还要仔细检查以下策略,来确认它们不会授予公共访问权限:

  • 附加到关联 Amazon 委托人(例如,IAM 角色)的基于身份的策略

  • 附加到关联资源的基于 Amazon 资源的策略(例如,Amazon Key Management Service (KMS) 密钥)

使用 Amazon Transfer Family阻止公有访问

当您将 Amazon EFS 与配合使用时 Amazon Transfer Family,如果文件系统允许公开访问,则从属于与文件系统不同的账户的 Transfer Family 服务器收到的文件系统访问请求将被阻止。Amazon EFS 会评估文件系统的 IAM 策略,如果策略是公有的,则会阻止相关请求。要允许 Amazon Transfer Family 访问您的文件系统,请更新您的文件系统策略,使其不被视为公开。

注意

对于在 2021 年 1 月 6 日之前创建的 EFS 文件系统且策略允许公开访问的,默认情况下会禁用在 Amazon EFS 中使用 Tran Amazon Web Services 账户 sfer Family。要允许使用 Transfer Family 访问您的文件系统,请联系 Amazon 支持部门。

“公有”的含义

在评估文件系统是否允许公有访问时,Amazon EFS 假设文件系统策略是公有的。然后对文件系统策略进行评估,以确定它是否符合非公有条件。当文件系统策略仅向以下一个或多个对象的固定值(不包含通配符的值)授予访问权限时,才会将该策略视为非公有:

  • 一组无类域间路由 (CIDR),使用 aws:SourceIp。有关 CIDR 的更多信息,请参阅 RFC 编辑器网站上的 RFC 4632

  • Amazon 委托人、用户、角色或服务主体(例如,aws:PrincipalOrgID

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

根据这些规则,以下示例策略被视为公有。

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

您可以使用设置为 True 的 EFS 条件键 elasticfilesystem:AccessedViaMountTarget 将此文件系统策略设为非公有。您可以使用 elasticfilesystem:AccessedViaMountTarget 允许对通过文件系统挂载目标访问 EFS 文件系统的客户端执行指定的 EFS 操作。以下非公有策略使用设置为 True 的 elasticfilesystem:AccessedViaMountTarget 条件键。

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

有关 Amazon EFS 条件键的更多信息,请参阅客户端的 EFS 条件键。有关创建文件系统策略的更多信息,请参阅创建文件系统策略