屏蔽对 EFS 文件系统的公共访问权限 - Amazon Elastic File System
使用 Amazon Transfer Family 阻止公有访问“公有”的含义
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

屏蔽对 EFS 文件系统的公共访问权限

Amazon EFS 屏蔽公共访问权限功能提供设置来帮助您管理对 EFS 文件系统的公共访问。默认情况下,新的 EFS 文件系统不允许公共访问。但是,您可以修改文件系统策略以允许公有访问。

重要

启用“屏蔽公共访问权限”可防止通过直接附加到文件系统的资源策略来授予公共访问权限,有助于保护您的资源。除了启用“屏蔽公共访问权限”之外,还要仔细检查以下策略,来确认它们不会授予公共访问权限:

  • 附加到关联 Amazon 主体(例如 IAM 角色)的基于身份的策略

  • 附加到关联 Amazon 资源 [例如 Amazon Key Management Service(KMS)密钥] 的基于资源的策略

使用 Amazon Transfer Family 阻止公有访问

将 Amazon EFS 与 Amazon Transfer Family 结合使用时,如果文件系统允许公有访问,则从 Transfer Family 服务器(由与文件系统不同的账户拥有)收到的文件系统访问请求将被阻止。Amazon EFS 会评估文件系统的 IAM 策略,如果策略是公有的,则会阻止相关请求。要允许 Amazon Transfer Family 访问您的文件系统,请更新您的文件系统策略,使其不被视为公有。

注意

对于具有在 2021 年 1 月 6 日之前创建,且策略允许公有访问的 EFS 文件系统的 Amazon Web Services 账户,默认情况下会禁用将 Transfer Family 与 Amazon EFS 一起使用。要允许使用 Transfer Family 访问您的文件系统,请联系 Amazon Support。

“公有”的含义

在评估文件系统是否允许公有访问时,Amazon EFS 假设文件系统策略是公有的。然后对文件系统策略进行评估,以确定它是否符合非公有条件。当文件系统策略仅向以下一个或多个对象的固定值(不包含通配符的值)授予访问权限时,才会将该策略视为非公有:

  • Amazon 主体、用户、角色或服务主体(例如 aws:PrincipalOrgID

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

根据这些规则,以下示例策略被视为公有。

JSON
{  
    "Version":"2012-10-17",		 	 	 
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*"
            }
     ]
}

您可以使用设置为 True 的 EFS 条件键 elasticfilesystem:AccessedViaMountTarget 将此文件系统策略设为非公有。您可以使用 elasticfilesystem:AccessedViaMountTarget 允许对通过文件系统挂载目标访问 EFS 文件系统的客户端执行指定的 EFS 操作。以下非公有策略使用设置为 True 的 elasticfilesystem:AccessedViaMountTarget 条件键。

JSON
{  
    "Version":"2012-10-17",		 	 	 
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

有关 Amazon EFS 条件键的更多信息,请参阅客户端的 EFS 条件键。有关创建文件系统策略的更多信息,请参阅创建文件系统策略