创建文件系统策略 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建文件系统策略

可以使用 Amazon EFS 控制台或 AWS CLI 创建文件系统策略。您还可以直接使用 AWS SDKs或 Amazon EFS API 以编程方式创建文件系统策略。EFS 文件系统策略具有 20000 个字符的限制。有关使用 EFS 文件系统策略和示例的更多信息,请参阅使用 IAM 控制文件系统数据访问

注意

Amazon EFS 文件系统策略更改可能需要几分钟才能生效。

  1. 通过 https://console.amazonaws.cn/efs/ 打开 Amazon Elastic File System 控制台。

  2. 选择 File Systems (文件系统)

  3. File systems (文件系统) 页面上,选择要编辑或创建其文件系统策略的文件系统。此时将显示该文件系统的详细信息页面。

  4. 选择 File system policy (文件系统策略),然后选择 Edit (编辑)。此时将显示 File system policy (文件系统策略) 页面。

    
                文件系统策略编辑器是您在 EFS 控制台中创建和编辑文件系统策略的位置。
  5. Policy options (策略选项) 中,您可以选择预配置文件系统策略的任意组合:

    • Prevent root access by default (默认情况下阻止根访问权限) - 此选项ClientRootAccess会从允许的 EFS 操作集中删除 。

    • Enforce read-only access by default (默认强制只读访问) - 此选项ClientWriteAccess将从允许的 EFS 操作集中删除 。

    • 防止匿名访问 - 此选项ClientMount将从允许的 EFS 操作集中删除 。

    • 对所有客户端强制执行传输中加密 - 此选项拒绝对未加密客户端的访问。

    当您选择预配置的策略时,策略 JSON 对象将显示在 Policy editor (策略编辑器) 窗格中。

  6. 使用 授予其他 权限以将文件系统权限授予其他 IAM 委托人,包括其他 AWS 账户。选择 Add (添加),然后输入要向其授予权限的实体的委托人 ARN。然后选择要授予的权限策略编辑器中显示了其他权限。

  7. 您可以使用 Policy 编辑器自定义预配置的策略或创建您自己的文件系统策略。当您使用 编辑器时,预配置的策略选项将变得不可用。要清除当前文件系统策略并开始创建新策略,请选择 Clear (清除)。

    当您清除编辑器时,预配置的策略将再次变为可用。

  8. 编辑完策略后,选择 Save (保存)。

在以下示例中, put-file-system-policy CLI 命令创建一个文件系统策略,该策略允许指定的AWS账户对 EFS 文件系统进行只读访问。等效的 API 命令是 PutFileSystemPolicy

aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{ "Id": "1", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount" ], "Principal": { "AWS": "arn:aws:iam::111122223333:root" } } ] }
{ "FileSystemId": "fs-01234567", "Policy": "{ "Version" : "2012-10-17", "Id" : "1", "Statement" : [ { "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "elasticfilesystem:ClientMount" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567" } ] } }