本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建文件系统策略
可以使用 Amazon EFS 控制台或 AWS CLI 创建文件系统策略。您还可以直接使用 AWS SDKs或 Amazon EFS API 以编程方式创建文件系统策略。EFS 文件系统策略具有 20000 个字符的限制。有关使用 EFS 文件系统策略和示例的更多信息,请参阅使用 IAM 控制文件系统数据访问。
Amazon EFS 文件系统策略更改可能需要几分钟才能生效。
-
通过 https://console.amazonaws.cn/efs/
打开 Amazon Elastic File System 控制台。 -
选择 File Systems (文件系统)。
-
在 File systems (文件系统) 页面上,选择要编辑或创建其文件系统策略的文件系统。此时将显示该文件系统的详细信息页面。
-
选择 File system policy (文件系统策略),然后选择 Edit (编辑)。此时将显示 File system policy (文件系统策略) 页面。
-
在 Policy options (策略选项) 中,您可以选择预配置文件系统策略的任意组合:
-
Prevent root access by default (默认情况下阻止根访问权限) - 此选项
ClientRootAccess会从允许的 EFS 操作集中删除 。 -
Enforce read-only access by default (默认强制只读访问) - 此选项
ClientWriteAccess将从允许的 EFS 操作集中删除 。 -
防止匿名访问 - 此选项
ClientMount将从允许的 EFS 操作集中删除 。 -
对所有客户端强制执行传输中加密 - 此选项拒绝对未加密客户端的访问。
当您选择预配置的策略时,策略 JSON 对象将显示在 Policy editor (策略编辑器) 窗格中。
-
-
使用 授予其他 权限以将文件系统权限授予其他 IAM 委托人,包括其他 AWS 账户。选择 Add (添加),然后输入要向其授予权限的实体的委托人 ARN。然后选择要授予的权限。策略编辑器中显示了其他权限。
-
您可以使用 Policy 编辑器自定义预配置的策略或创建您自己的文件系统策略。当您使用 编辑器时,预配置的策略选项将变得不可用。要清除当前文件系统策略并开始创建新策略,请选择 Clear (清除)。
当您清除编辑器时,预配置的策略将再次变为可用。
-
编辑完策略后,选择 Save (保存)。
在以下示例中, put-file-system-policy CLI 命令创建一个文件系统策略,该策略允许指定的AWS账户对 EFS 文件系统进行只读访问。等效的 API 命令是 PutFileSystemPolicy。
aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{ "Id": "1", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount" ], "Principal": { "AWS": "arn:aws:iam::111122223333:root" } } ] }
{ "FileSystemId": "fs-01234567", "Policy": "{ "Version" : "2012-10-17", "Id" : "1", "Statement" : [ { "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "elasticfilesystem:ClientMount" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567" } ] } }