本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建文件系统策略
可以使用 Amazon EFS 控制台或 Amazon CLI创建文件系统策略。您也可以直接使用软件 Amazon 开发工具包或 Amazon EFS API,以编程方式创建文件系统策略。EFS 文件系统策略有 2 万个字符的限制。有关使用 EFS 文件系统策略的更多信息和示例,请参阅使用 IAM 控制文件系统数据访问。
注意
Amazon EFS 文件系统策略更改可能需要几分钟才能生效。
访问 https://console.aws.amazon.com/efs/
,打开 Amazon Elastic File System 控制台。 选择 File Systems (文件系统)。
在 File systems(文件系统)页面上,选择要为其编辑或创建文件系统策略的文件系统。将显示该文件系统的详细信息页面。
选择文件系统策略,然后选择编辑。此时将显示 File system policy (文件系统策略) 页面。
在策略选项中,可以选择预配置文件系统策略的任意组合:
默认阻止根访问 – 此选项可从允许的 EFS 操作集中移除
ClientRootAccess。默认强制执行只读访问 – 此选项可从允许的 EFS 操作集中移除
ClientWriteAccess。防止匿名访问 – 此选项可从允许的 EFS 操作集中移除
ClientMount。对所有客户端强制执行传输中加密 – 此选项拒绝访问未加密的客户端。
选择预配置的策略时,策略 JSON 对象将显示在策略编辑器窗格中。
使用授予额外权限向其他 IAM 委托人(包括另一个 Amazon Web Services 账户)授予文件系统权限。选择添加,然后输入要向其授予权限的实体的主体 ARN。然后选择要授予的权限。其他权限将显示在策略编辑器中。
可以使用策略编辑器自定义预配置策略或创建自己的文件系统策略。使用编辑器时,预配置策略选项将不可用。要清除当前文件系统策略并开始创建新策略,请选择清除。
清除编辑器后,预配置策略将再次可用。
编辑完策略后,选择保存。
在以下示例中,put-file-system-policyCLI 命令创建了一个文件系统策略,该策略允许对 EFS 文件系统进行指定的 Amazon Web Services 账户 只读访问。等效的 API 命令是 PutFileSystemPolicy。
aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{ "Id": "1", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount" ], "Principal": { "AWS": "arn:aws:iam::111122223333:root" } } ] }'
{ "FileSystemId": "fs-01234567", "Policy": "{ "Version" : "2012-10-17", "Id" : "1", "Statement" : [ { "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "elasticfilesystem:ClientMount" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567" } ] } }