阻止公有访问 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

阻止公有访问

Amazon EFS 阻止公有访问功能提供帮助您管理对 Amazon EFS 文件系统的公有访问的设置。默认情况下,新 Amazon EFS 文件系统不允许公有访问。但是,您可以修改文件系统策略以允许公有访问。

通过阻止公有访问Amazon Transfer Family

当您通过使用 Amazon EFSAmazon Transfer Family,如果文件系统允许公共访问,则会阻止从该文件系统不同的帐户拥有的 Transfer Family 服务器收到的文件系统访问请求。Amazon EFS 会评估文件系统的 IAM 策略,如果该策略是公开的,它会阻止请求。为了允许Amazon Transfer Family访问文件系统,更新文件系统策略,使其不被视为公开。

注意

默认情况下,Transfer Family 与 Amazon EFS 结合使用处于禁Amazon Web Services 账户具有针对 2021 年 1 月 6 日之前创建的允许公共访问的策略的 EFS 文件系统。要启用 “Transfer Family” 访问文件系统,请联系AmazonSupport。

“公有”的含义

在评估文件系统是否允许公共访问时,Amazon EFS 假定文件系统策略是公共的。然后,它会对文件系统策略进行评估,以确定该策略是否符合非公有条件。当文件系统策略仅向以下一个或多个对象的固定值(不包含通配符的值)授予访问权限时,才会将该策略视为非公有:

  • 一组无类域间路由 (CIDR),使用 aws:SourceIp。有关 CIDR 的更多信息,请参阅 RFC 编辑器网站上的 RFC 4632

  • 网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon委托人、用户、角色或服务委托人(例如,aws:PrincipalOrgID

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

根据这些规则,以下示例策略被视为公有。

{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ] } ] }

您可以使用 EFS 条件密钥将此文件系统策略设置为非公有elasticfilesystem:AccessedViaMountTarget将设置为 true。您可以使用elasticfilesystem:AccessedViaMountTarget允许使用文件系统挂载目标访问 EFS 文件系统的客户端执行指定的 EFS 操作。以下非公共策略使用elasticfilesystem:AccessedViaMountTarget条件键设置为 true。

{ "Version": "2012-10-17", "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55", "Statement": [ { "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }

有关 Amazon EFS 条件键的更多信息,请参阅客户端的 EFS 条件键. 有关创建文件系统策略的更多信息,请参阅创建文件系统策略.