本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 IAM 控制文件系统访问
<a name="iam-access-control-nfs-efs"></a>

您可以使用 IAM 身份策略和资源策略，以针对云环境可扩展和优化的方式控制客户端对 Amazon EFS 资源的访问。通过使用 IAM，您可以允许客户端对文件系统执行特定操作，包括只读、写入和根访问。对 IAM 身份策略***或*文件系统资源策略中的操作的“允许”权限允许访问该操作。无需在身份策略*和*资源策略中*同时*授予此权限。

 NFS 客户端可以在连接到 EFS 文件系统时使用 IAM 角色标识自己。当客户端连接到文件系统时，Amazon EFS 会评估文件系统的 IAM 资源策略（称为文件系统策略）以及任何基于身份的 IAM 策略，以确定要授予的相应文件系统访问权限。

当您对 NFS 客户端使用 IAM 授权时，客户端连接和 IAM 授权决策将记录到 Amazon CloudTrail。有关如何使用记录 Amazon EFS API 调用的更多信息 CloudTrail，请参阅[使用记录 Amazon EFS API 调用 Amazon CloudTrail](logging-using-cloudtrail.md)。

**重要**  
必须使用 EFS 挂载帮助程序挂载 EFS 文件系统，才能使用 IAM 授权来控制客户端访问。有关更多信息，请参阅 [使用 IAM 授权挂载](mounting-IAM-option.md)。

## 默认 EFS 文件系统策略
<a name="default-filesystempolicy"></a>

默认 EFS 文件系统策略不使用 IAM 进行身份验证，它向可以使用挂载目标连接到文件系统的任何匿名客户端授予完全访问权限。每当用户配置的文件系统策略不生效时（包括在创建文件系统时），默认策略将生效。每当默认文件系统策略生效时，`DescribeFileSystemPolicy` API 操作都会返回 `PolicyNotFound` 响应。

## 客户端的 EFS 操作
<a name="efs-filesystempolicy-actions"></a>

您可以为使用文件系统策略访问文件系统的客户端指定以下操作。


| Action | 说明 | 
| --- | --- | 
|  `elasticfilesystem:ClientMount`  |  提供对文件系统的只读访问权限。  | 
|  `elasticfilesystem:ClientWrite`  |  提供对文件系统的写入权限。  | 
|  `elasticfilesystem:ClientRootAccess`  |  提供在访问文件系统时使用根用户的权限。  | 

## 客户端的 EFS 条件键
<a name="efs-condition-keys-for-nfs"></a>

要表示条件，您可以使用预定义的条件键。Amazon EFS 为 NFS 客户端提供了以下预定义的条件键。使用 IAM 控制来保护对 EFS 文件系统的访问时，不会强制执行任何其他条件键。


| EFS 条件键 | 说明 | 运算符 | 
| --- | --- | --- | 
| aws:SecureTransport |  使用此键可要求客户端在连接到 EFS 文件系统时使用 TLS。  |  布尔值  | 
| aws:SourceIp | 使用此键可将请求者的 IP 地址与您在策略中指定的 IP 地址进行比较。aws:SourceIp 条件键只能用于公有 IP 地址范围。 | 字符串 | 
| elasticfilesystem:AccessPointArn | 客户端正在连接到的 EFS 接入点的 ARN。 | 字符串 | 
| elasticfilesystem:AccessedViaMountTarget | 使用此键可防止未使用文件系统挂载目标的客户机访问 EFS 文件系统。 | 布尔值 | 

## 文件系统策略示例
<a name="file-system-policy-examples"></a>

要查看 Amazon EFS 文件系统策略的示例，请参阅[适用于 Amazon EFS 的基于资源的策略示例](security_iam_resource-based-policy-examples.md)。