本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建文件系统策略
您可以使用 Amazon EFS 控制台或使用创建文件系统策略Amazon CLI。您也可以直接使用Amazon SDK 或 Amazon EFS API 以编程方式创建文件系统策略。EFS 文件系统策略的限制为 20,000 个字符。有关使用 EFS 文件系统策略和示例的更多信息,请参阅使用 IAM 控制文件系统数据访问。
注意
Amazon EFS 文件系统策略更改可能需要几分钟才能生效。
访问 https://console.aws.amazon.com/efs/
,打开 Amazon Elastic File System 控制台。 选择 File Systems (文件系统)。
在 File systems(文件系统)页面上,选择要为其编辑或创建文件系统策略的文件系统。将显示该文件系统的详细信息页面。
选择文件系统策略,然后选择编辑。此时将显示 File system policy (文件系统策略) 页面。
在策略选项中,您可以选择预配置的文件系统策略的任意组合:
默认情况下阻止 root 访问 — 此选项
ClientRootAccess从允许的 EFS 操作集中移除。默认情况下强制执行只读访问权限-此选项
ClientWriteAccess从允许的 EFS 操作集中删除。防止匿名访问-此选项
ClientMount从允许的 EFS 操作集中删除。对所有客户端强制执行传输中加密-此选项拒绝访问未加密的客户端。
当您选择预配置的策略时,策略 JSON 对象将显示在策略编辑器窗格中。
使用 “授予额外权限” 向其他 IAM 委托人(包括另一个 IAM 委托人)授予文件系统权限Amazon Web Services 账户。选择添加,然后输入您要向其授予权限的实体的委托人 ARN。然后选择要授予的权限。其他权限显示在策略编辑器中。
您可以使用策略编辑器自定义预配置的策略或创建自己的文件系统策略。使用编辑器时,预配置的策略选项将不可用。要清除当前文件系统策略并开始创建新策略,请选择清除。
当您清除编辑器时,预配置的策略将再次可用。
编辑完策略后,选择保存。
在以下示例中,put-file-system-policyCLI 命令创建了一个文件系统策略,该策略允许对 EFS 文件系统进行指定的Amazon Web Services 账户只读访问权限。等效的 API 命令是 PutFileSystemPolicy。
aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{ "Id": "1", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount" ], "Principal": { "AWS": "arn:aws:iam::111122223333:root" } } ] }'
{ "FileSystemId": "fs-01234567", "Policy": "{ "Version" : "2012-10-17", "Id" : "1", "Statement" : [ { "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "elasticfilesystem:ClientMount" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567" } ] } }