本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建文件系统策略
可以使用 Amazon EFS 控制台或创建文件系统策略。Amazon CLI. 也可以使用以编程方式创建文件系统策略。Amazon直接使用软件开发工具包或 Amazon EFS API。EFS 文件系统策略有 20,000 个字符限制。有关使用 EFS 文件系统策略和示例的更多信息,请参阅。使用 IAM 控制文件系统数据访问.
Amazon EFS 文件系统策略更改可能需要几分钟时间才能生效。
访问 https://console.aws.amazon.com/efs/
,打开 Amazon Elastic File System 控制台。 选择 File Systems (文件系统)。
在存储库的文件系统页面上,选择要编辑的文件系统或创建文件系统策略。此时将显示该文件系统的详细信息页面。
选择文件系统策,然后选择编辑. 此时将显示 File system policy (文件系统策略) 页面。
In策略选项中,您可以选择预配置文件系统策略的任意组合:
默认情况下防止 root 访问权限-此选项删除
ClientRootAccess来自允许的 EFS 操作集。默认情况下强制执行只读访问-此选项将
ClientWriteAccess来自允许的 EFS 操作集。防止匿名访问-此选项删除
ClientMount来自允许的 EFS 操作集。对所有客户端实施传输中加密-此选项拒绝对未加密客户端的访问。
当您选择预配置的策略时,策略 JSON 对象将显示在策略编辑器窗格。
使用授予额外权限向其他 IAM 委托人授予文件系统权限,包括另一个Amazon Web Services 账户. 选择Add,然后输入您向其授予权限的实体的委托人 ARN。然后选择Permissions (权限)您想授予的。此外的权限将显示在策略编辑器.
您可以使用策略编辑器自定义预配置的策略或创建自己的文件系统策略。使用编辑器时,预配置的策略选项将变为不可用。要清除当前的文件系统策略并开始创建新策略,请选择Clear.
清除编辑器后,预配置的策略再次变为可用。
完成策略编辑后,选择Save.
在下面的示例中,put-file-system-policyCLI 命令创建一个文件系统策略,允许指定Amazon Web Services 账户对 EFS 文件系统的只读访问权限。等效的 API 命令是 PutFileSystemPolicy。
aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{ "Id": "1", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount" ], "Principal": { "AWS": "arn:aws:iam::111122223333:root" } } ] }
{ "FileSystemId": "fs-01234567", "Policy": "{ "Version" : "2012-10-17", "Id" : "1", "Statement" : [ { "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "elasticfilesystem:ClientMount" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567" } ] } }