Amazon适用于 Amazon EFS 的托管策略 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon适用于 Amazon EFS 的托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管式策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管式策略

Amazon Web Services 负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ViewOnlyAccess Amazon 托管式策略提供对许多 Amazon Web Services 服务和资源的只读访问权限。当服务启动新功能时,Amazon会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

Amazon托管策略:AmazonElasticFileSystemFullAccess

您可以将 AmazonElasticFileSystemFullAccess 策略附加得到 IAM 身份。

此策略授予管理权限,允许完全访问 Amazon EFS 以及访问相关权限Amazon通过服务Amazon Web Services Management Console.

权限详细信息

此策略包含以下权限。

  • elasticfilesystem— 允许委托人在 Amazon EFS 控制台中执行所有操作。它还允许委托人创建 (elasticfilesystem:Backup)和还原(elasticfilesystem:Restore使用备份Amazon Backup.

  • cloudwatch— 允许委托人描述亚马逊 CloudWatch Amazon EFS 控制台中指标的文件系统指标和警报。

  • ec2— 允许委托人在 Amazon EFS 控制台中创建、删除和描述网络接口、描述和修改网络接口属性、描述可用区、安全组、子网、虚拟私有云 (VPC) 和 VPC 属性与 Amazon EFS 文件系统关联。

  • kms— 允许委托人列出别名Amazon Key Management Service(Amazon KMS) 密钥,并在 Amazon EFS 控制台中描述 KMS 密钥。

  • iam— 授予创建允许 Amazon EFS 管理的服务关联角色的权限Amazon代表用户资源。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricData", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "elasticfilesystem:Backup", "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget", "elasticfilesystem:CreateTags", "elasticfilesystem:CreateAccessPoint", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DeleteFileSystem", "elasticfilesystem:DeleteMountTarget", "elasticfilesystem:DeleteTags", "elasticfilesystem:DeleteAccessPoint", "elasticfilesystem:DeleteFileSystemPolicy", "elasticfilesystem:DeleteReplicationConfiguration", "elasticfilesystem:DescribeAccountPreferences", "elasticfilesystem:DescribeBackupPolicy", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeFileSystemPolicy", "elasticfilesystem:DescribeLifecycleConfiguration", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeMountTargetSecurityGroups", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DescribeTags", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:ModifyMountTargetSecurityGroups", "elasticfilesystem:PutAccountPreferences", "elasticfilesystem:PutBackupPolicy", "elasticfilesystem:PutLifecycleConfiguration", "elasticfilesystem:PutFileSystemPolicy", "elasticfilesystem:UpdateFileSystem", "elasticfilesystem:TagResource", "elasticfilesystem:UntagResource", "elasticfilesystem:ListTagsForResource", "elasticfilesystem:Restore", "kms:DescribeKey", "kms:ListAliases" ], "Effect": "Allow", "Resource": "*" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "elasticfilesystem.amazonaws.com" ] } } } ] }

Amazon托管策略:AmazonElasticFileSystemReadOnlyAccess

您可以将 AmazonElasticFileSystemReadOnlyAccess 策略附加得到 IAM 身份。

此政策授予 EFS 过Amazon Web Services Management Console.

权限详细信息

此策略包含以下权限。

  • elasticfilesystem— 允许委托人在 Amazon EFS 控制台中描述 Amazon EFS 文件系统的属性,包括账户首选项、备份和文件系统策略、生命周期配置、挂载目标及其安全组、标签和访问点。

  • cloudwatch— 允许委托人检索 CloudWatch 指标并在 Amazon EFS 控制台中描述指标的警报。

  • ec2— 允许委托人在 Amazon EFS 控制台中查看可用区、网络接口及其属性、安全组、子网、VPC 及其属性。

  • kms— 允许委托人列出别名Amazon KMSAmazon EFS 控制台中的密钥。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricData", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "elasticfilesystem:DescribeAccountPreferences", "elasticfilesystem:DescribeBackupPolicy", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeFileSystemPolicy", "elasticfilesystem:DescribeLifecycleConfiguration", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeMountTargetSecurityGroups", "elasticfilesystem:DescribeTags", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:ListTagsForResource", "kms:ListAliases" ], "Resource": "*" } ] }

Amazon托管策略:AmazonElasticFileSystemClientReadWriteAccess

您可以挂载AmazonElasticFileSystemClientReadWriteAccess针对 IAM 实体的策略。

此策略授予客户端对 Amazon EFS 文件系统的读取和写入访问权限。此策略允许 NFS 客户端挂载、读取和写入 Amazon EFS 文件系统。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" } ] }

Amazon EFS 更新为Amazon托管策略

查看有关更新的详细信息Amazon自从其开始跟踪更改以来,适用于 Amazon EFS 的托管策略。要获得有关此页面更改的自动提示,请订阅 Amazon EFS 上的 RSS 源 文档历史记录页.

更改 描述 日期

AmazonElasticFileSystemServiceRolePolicy— 对现有策略的更新

Amazon EFS 添加了新的权限,允许委托人创建、描述和删除 Amazon EFS 复制以及创建 Amazon EFS 文件系统。

这是必需的,这样 Amazon EFS 才能代表用户管理文件系统复制配置。

2022 年 1 月 25 日

AmazonElasticFileSystemReadOnlyAccess— 对现有策略的更新

Amazon EFS 添加了一个新的权限,允许委托人描述 Amazon EFS 复制。

这是必需的,以便用户可以查看文件系统复制配置。

2022 年 1 月 25 日

AmazonElasticFileSystemFullAccess— 对现有策略的更新

Amazon EFS 添加了新的权限,允许委托人创建、描述和删除 Amazon EFS 复制。

这是必需的,以便用户可以管理文件系统复制配置。

2022 年 1 月 25 日

AmazonElasticFileSystemClientReadWriteAccess— 已开启跟踪策略

向 NFS 客户端授予 Amazon EFS 文件系统的读写权限。

2022 年 1 月 3 日

AmazonElasticFileSystemServiceRolePolicy— 已开启跟踪策略

Amazon EFS 的服务相关角色权限。

2021 年 10 月 8 日

AmazonElasticFileSystemFullAccess— 对现有策略的更新

Amazon EFS 添加了新的权限,允许委托人修改和描述 Amazon EFS 账户首选项。

这是必需的,以便用户可以在 Amazon EFS 控制台中查看和设置账户首选项设置。

2021 年 5 月 7 日

AmazonElasticFileSystemReadOnlyAccess— 对现有策略的更新

Amazon EFS 添加了新的权限,允许委托人描述 Amazon EFS 账户首选项。

这是必需的,以便用户可以在 Amazon EFS 控制台中查看账户首选项设置。

2021 年 5 月 7 日

Amazon EFS 开始跟踪更改

Amazon EFS 开始跟踪其的更改Amazon托管策略。

2021 年 5 月 7 日