本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建文件系统策略
您可以使用 Amazon EFS 控制台或创建文件系统策略Amazon CLI. 也可以使用以编程方式创建文件系统策略Amazon直接使用软件开发工具包或亚马逊 EFS API。EFS 文件系统策略有 20,000 个字符的限制。有关使用 EFS 文件系统策略的更多信息及示例,请参阅使用 IAM 控制文件系统数据访问.
Amazon EFS 文件系统策略更改可能需要几分钟才能生效。
访问 https://console.aws.amazon.com/efs/
,打开 Amazon Elastic File System 控制台。 选择 File Systems (文件系统)。
在存储库的文件系统页面上,选择要编辑的文件系统或为其创建文件系统策略。此时将显示该文件系统的详细信息页面。
选择文件系统策略,然后选择编辑. 此时将显示 File system policy (文件系统策略) 页面。
In策略选项,您可以选择预配置文件系统策略的任意组合:
默认情况下禁止超级用户访问权限-此选项将删除
ClientRootAccess
从允许的 EFS 操作集中。默认情况下强制只读访问-此选项删除
ClientWriteAccess
从允许的 EFS 操作集中。阻止匿名访问-此选项将删除
ClientMount
从允许的 EFS 操作集中。对所有客户端强制执行传输中加密-此选项拒绝访问未加密的客户端。
选择预配置策略时,策略 JSON 对象将显示在策略编辑器窗格。
使用授予其他权限向其他 IAM 委托人(包括另一个)授予文件系统权限Amazon Web Services 账户. 选择Add,然后输入您要向其授予权限的实体的委托人 ARN。然后选择Permissions (权限)您想要授予的。其他权限显示在策略编辑器.
您可以使用策略编辑器自定义预配置的策略或创建自己的文件系统策略。使用编辑器时,预配置的策略选项将变为不可用。要清除当前文件系统策略并开始创建新策略,请选择Clear.
清除编辑器后,预配置的策略将再次变为可用。
编辑完策略后,选择Save(保存).
在下面的示例中,put-file-system-policy
CLI 命令创建一个文件系统策略,允许指定的Amazon Web Services 账户对 EFS 文件系统的只读访问权限。等效的 API 命令是 PutFileSystemPolicy。
aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{ "Id": "1", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount" ], "Principal": { "AWS": "arn:aws:iam::111122223333:root" } } ] }
{ "FileSystemId": "fs-01234567", "Policy": "{ "Version" : "2012-10-17", "Id" : "1", "Statement" : [ { "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "elasticfilesystem:ClientMount" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567" } ] } }