使用 IAM 控制文件系统数据访问 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 控制文件系统数据访问

您可以使用 IAM 身份策略和资源策略,以可扩展和针对云环境优化的方式控制客户端对 Amazon EFS 资源的访问。使用 IAM,您可以允许客户端在文件系统上执行特定操作,包括只读、写入和根访问权限。IAM 身份策略文件系统资源策略中对某项操作的 “允许” 权限允许访问该操作。无需在身份策略资源策略中同时授予权限。

NFS 客户端在连接到 EFS 文件系统时可以使用 IAM 角色识别自己的身份。当客户端连接到文件系统时,Amazon EFS 会评估文件系统的 IAM 资源策略(称为文件系统策略)以及任何基于身份的 IAM 策略,以确定要授予的相应文件系统访问权限。

当您对 NFS 客户端使用 IAM 授权时,会将客户端连接和 IAM 授权决策记录到Amazon CloudTrail。有关如何记录 Amazon EFS API 调用的更多信息 CloudTrail,请参阅使用记录 Amazon EFS API 调用Amazon CloudTrail

重要

您必须使用 EFS 挂载帮助程序挂载您的 Amazon EFS 文件系统,才能使用 IAM 授权来控制客户端访问权限。有关更多信息,请参阅使用 IAM 授权挂载

默认 EFS 文件系统策略

默认 EFS 文件系统策略不使用 IAM 进行身份验证,而是向可以使用挂载目标连接到文件系统的任何匿名客户端授予完全访问权限。当用户配置的文件系统策略不生效时(包括在创建文件系统时),默认策略将生效。每当默认文件系统策略生效时,DescribeFileSystemPolicy API 操作都会返回 PolicyNotFound 响应。

适用于客户端的 EFS 操作

您可以使用文件系统策略为访问文件系统的客户端指定以下操作。

操作 描述

elasticfilesystem:ClientMount

提供对文件系统的只读访问权限。

elasticfilesystem:ClientWrite

提供文件系统的写入权限。

elasticfilesystem:ClientRootAccess

允许在访问文件系统时使用 root 用户。

客户端的 EFS 条件键

要表示条件,您可以使用预定义的条件键。Amazon EFS 具有以下用于 NFS 客户端的预定义条件密钥。

EFS 条件键 描述 操作符
aws:SecureTransport

使用此密钥要求客户端在连接到 EFS 文件系统时使用 TLS。

布尔值

elasticfilesystem:AccessPointArn 客户端所连接的 EFS 访问点的 ARN。 字符串
elasticfilesystem:AccessedViaMountTarget 使用此密钥防止未使用文件系统装载目标的客户端访问 EFS 文件系统。

布尔值

文件系统策略示例

要查看 Amazon EFS 文件系统策略的示例,请参阅适用于 Amazon Elastic File System