IAM使用控制文件系统数据访问权限 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM使用控制文件系统数据访问权限

您可以使用IAM身份策略和资源策略,以可扩展和针对云环境优化的方式控制客户对 Amazon EFS 资源的访问。使用IAM,您可以允许客户端对文件系统执行特定操作,包括只读、写入和根访问权限。IAM身份策略文件系统资源策略中某项操作的 “允许” 权限允许访问该操作。无需在身份策略资源策略中同时授予此权限。

NFS在连接到EFS文件系统时,客户机可以使用IAM角色来标识自己。当客户端连接到文件系统时,Amazon EFS 会评估文件系统的IAM资源策略(称为文件系统策略)以及任何基于身份IAM的策略,以确定要授予的相应文件系统访问权限。

当您对NFS客户端使用IAM授权时,会将客户端连接和IAM授权决策记录到 Amazon CloudTrail。有关如何记录 Amazon EFS API 通话的更多信息 CloudTrail,请参阅使用 Amazon 记录EFSAPI通话 Amazon CloudTrail

重要

您必须使用EFS挂载助手来挂载您的 Amazon EFS 文件系统,才能使用IAM授权来控制客户端访问。有关更多信息,请参阅 IAM经授权装载

默认EFS文件系统策略

默认EFS文件系统策略不用于IAM进行身份验证,而是向任何可以使用挂载目标连接到文件系统的匿名客户端授予完全访问权限。每当用户配置的文件系统策略不生效时(包括在创建文件系统时),默认策略将生效。每当默认文件系统策略生效时,DescribeFileSystemPolicyAPI操作都会返回PolicyNotFound响应。

EFS为客户采取的行动

您可以为使用文件系统策略访问文件系统的客户端指定以下操作。

操作 描述

elasticfilesystem:ClientMount

提供对文件系统的只读访问权限。

elasticfilesystem:ClientWrite

提供对文件系统的写入权限。

elasticfilesystem:ClientRootAccess

提供在访问文件系统时使用根用户的权限。

EFS客户端的条件密钥

要表示条件,您可以使用预定义的条件键。Amazon EFS 为NFS客户提供了以下预定义的条件密钥。使用IAM控件来保护对EFS文件系统的访问时,不会强制执行任何其他条件密钥。

EFS条件密钥 描述 运算符
aws:SecureTransport

使用此密钥要求客户端TLS在连接到EFS文件系统时使用。

布尔值

aws:SourceIp 访问EFS文件系统的客户端的私有 IP 地址。 String
elasticfilesystem:AccessPointArn ARN客户端正在连接的EFS接入点。 String
elasticfilesystem:AccessedViaMountTarget 使用此密钥可防止未使用EFS文件系统挂载目标的客户机访问文件系统。

布尔值

文件系统策略示例

要查看 Amazon EFS 文件系统策略的示例,请参阅Amazon 基于资源的政策示例 EFSAmazon EFS