本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM使用控制文件系统数据访问权限
您可以使用IAM身份策略和资源策略,以可扩展和针对云环境优化的方式控制客户对 Amazon EFS 资源的访问。使用IAM,您可以允许客户端对文件系统执行特定操作,包括只读、写入和根访问权限。IAM身份策略或文件系统资源策略中某项操作的 “允许” 权限允许访问该操作。无需在身份策略和资源策略中同时授予此权限。
NFS在连接到EFS文件系统时,客户机可以使用IAM角色来标识自己。当客户端连接到文件系统时,Amazon EFS 会评估文件系统的IAM资源策略(称为文件系统策略)以及任何基于身份IAM的策略,以确定要授予的相应文件系统访问权限。
当您对NFS客户端使用IAM授权时,会将客户端连接和IAM授权决策记录到 Amazon CloudTrail。有关如何记录 Amazon EFS API 通话的更多信息 CloudTrail,请参阅使用 Amazon 记录EFSAPI通话 Amazon CloudTrail。
重要
您必须使用EFS挂载助手来挂载您的 Amazon EFS 文件系统,才能使用IAM授权来控制客户端访问。有关更多信息,请参阅 IAM经授权装载。
默认EFS文件系统策略
默认EFS文件系统策略不用于IAM进行身份验证,而是向任何可以使用挂载目标连接到文件系统的匿名客户端授予完全访问权限。每当用户配置的文件系统策略不生效时(包括在创建文件系统时),默认策略将生效。每当默认文件系统策略生效时,DescribeFileSystemPolicy
API操作都会返回PolicyNotFound
响应。
EFS为客户采取的行动
您可以为使用文件系统策略访问文件系统的客户端指定以下操作。
操作 | 描述 |
---|---|
|
提供对文件系统的只读访问权限。 |
|
提供对文件系统的写入权限。 |
|
提供在访问文件系统时使用根用户的权限。 |
EFS客户端的条件密钥
要表示条件,您可以使用预定义的条件键。Amazon EFS 为NFS客户提供了以下预定义的条件密钥。使用IAM控件来保护对EFS文件系统的访问时,不会强制执行任何其他条件密钥。
EFS条件密钥 | 描述 | 运算符 |
---|---|---|
aws:SecureTransport |
使用此密钥要求客户端TLS在连接到EFS文件系统时使用。 |
布尔值 |
aws:SourceIp |
访问EFS文件系统的客户端的私有 IP 地址。 | String |
elasticfilesystem:AccessPointArn |
ARN客户端正在连接的EFS接入点。 | String |
elasticfilesystem:AccessedViaMountTarget |
使用此密钥可防止未使用EFS文件系统挂载目标的客户机访问文件系统。 | 布尔值 |
文件系统策略示例
要查看 Amazon EFS 文件系统策略的示例,请参阅Amazon 基于资源的政策示例 EFSAmazon EFS。