适用于 Amazon EFS 的 Amazon 托管式策略 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon EFS 的 Amazon 托管式策略

Amazon 托管策略是由 Amazon 创建和管理的独立策略。Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon Web Service 启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管式策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon 托管式策略:AmazonElasticFileSystemFullAccess

您可以将 AmazonElasticFileSystemFullAccess 策略附加到 IAM 身份。

此策略授予管理权限,允许完全访问 Amazon EFS 和通过 Amazon Web Services Management Console访问相关 Amazon 服务。

权限详细信息

该策略包含以下权限。

  • elasticfilesystem – 允许主体在 Amazon EFS 控制台中执行所有操作。它还允许主体使用 Amazon Backup 创建 (elasticfilesystem:Backup) 和还原 (elasticfilesystem:Restore) 备份。

  • cloudwatch –允许主体在 Amazon EFS 控制台中描述 Amazon CloudWatch 文件系统指标和某项指标的警报。

  • ec2 – 允许主体在 Amazon EFS 控制台中创建、从中删除和描述网络接口,描述和修改网络接口属性,描述可用区、安全组、子网、虚拟私有云 (VPC) 和与 Amazon EFS 文件系统关联的 VPC 属性。

  • kms – 允许主体在 Amazon EFS 控制台中列出 Amazon Key Management Service (Amazon KMS) 密钥的别名并描述 KMS 密钥。

  • iam – 授予创建服务相关角色的权限,允许 Amazon EFS 代表用户管理 Amazon 资源。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricData", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "elasticfilesystem:Backup", "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget", "elasticfilesystem:CreateTags", "elasticfilesystem:CreateAccessPoint", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DeleteFileSystem", "elasticfilesystem:DeleteMountTarget", "elasticfilesystem:DeleteTags", "elasticfilesystem:DeleteAccessPoint", "elasticfilesystem:DeleteFileSystemPolicy", "elasticfilesystem:DeleteReplicationConfiguration", "elasticfilesystem:DescribeAccountPreferences", "elasticfilesystem:DescribeBackupPolicy", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeFileSystemPolicy", "elasticfilesystem:DescribeLifecycleConfiguration", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeMountTargetSecurityGroups", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DescribeTags", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:ModifyMountTargetSecurityGroups", "elasticfilesystem:PutAccountPreferences", "elasticfilesystem:PutBackupPolicy", "elasticfilesystem:PutLifecycleConfiguration", "elasticfilesystem:PutFileSystemPolicy", "elasticfilesystem:UpdateFileSystem", "elasticfilesystem:UpdateFileSystemProtection", "elasticfilesystem:TagResource", "elasticfilesystem:UntagResource", "elasticfilesystem:ListTagsForResource", "elasticfilesystem:Restore", "kms:DescribeKey", "kms:ListAliases" ], "Sid": "ElasticFileSystemFullAccess", "Effect": "Allow", "Resource": "*" }, { "Action": "iam:CreateServiceLinkedRole", "Sid": "CreateServiceLinkedRoleForEFS", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "elasticfilesystem.amazonaws.com" ] } } } ] }

Amazon 托管式策略:AmazonElasticFileSystemReadOnlyAccess

您可以将 AmazonElasticFileSystemReadOnlyAccess 策略附加到 IAM 身份。

此策略授予通过 Amazon Web Services Management Console对 Amazon EFS 的只读访问权限。

权限详细信息

该策略包含以下权限。

  • elasticfilesystem – 允许主体在 Amazon EFS 控制台中描述 Amazon EFS 文件系统的属性,包括账户首选项、备份和文件系统策略、生命周期配置、挂载目标及其安全组、标签和接入点。

  • cloudwatch – 允许主体在 Amazon EFS 控制台中检索 CloudWatch 指标,并描述某项指标的警报。

  • ec2 – 允许主体在 Amazon EFS 控制台中查看可用区、网络接口及其属性、安全组、子网、VPC 及其属性。

  • kms – 允许主体在 Amazon EFS 控制台中列出 Amazon KMS 密钥的别名。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricData", "ec2:DescribeAvailabilityZones", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "elasticfilesystem:DescribeAccountPreferences", "elasticfilesystem:DescribeBackupPolicy", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeFileSystemPolicy", "elasticfilesystem:DescribeLifecycleConfiguration", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:DescribeMountTargetSecurityGroups", "elasticfilesystem:DescribeTags", "elasticfilesystem:DescribeAccessPoints", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:ListTagsForResource", "kms:ListAliases" ], "Resource": "*" } ] }

Amazon 托管式策略:AmazonElasticFileSystemClientReadWriteAccess

可以将 AmazonElasticFileSystemClientReadWriteAccess 策略附加到 IAM 实体。

此策略授予客户端对 Amazon EFS 文件系统的读写访问权限。此策略允许 NFS 客户端挂载、读取和写入 Amazon EFS 文件系统。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" } ] }

Amazon 托管式策略的 Amazon EFS 更新

查看有关 Amazon EFS 的 Amazon 托管式策略的更新的详细信息(此服务开始跟踪这些更改)。要获得有关此页面更改的自动提示,请订阅 Amazon EFS 文档历史记录 页面上的 RSS 源。

更改 说明 日期

更新现有策略

策略:AmazonElasticFileSystemFullAccess

Amazon EFS 添加了一项新权限,以允许主体禁用和启用文件系统的保护。需要这些权限才能允许 Amazon EFS 复制到现有文件系统。

2023 年 11 月 27 日

更新现有策略

策略:AmazonElasticFileSystemServiceRolePolicy

Amazon EFS 添加了新的权限,允许主体创建、描述和删除 Amazon EFS 副本,以及创建 Amazon EFS 文件系统。需要这些权限才能允许 Amazon EFS 代表用户管理文件系统复制配置。

2022 年 1 月 25 日

对现有策略的更新

策略:AmazonElasticFileSystemReadOnlyAccess

Amazon EFS 添加了一项新权限,允许主体描述 Amazon EFS 复制。需要这些权限才能允许用户查看文件系统复制配置。

2022 年 1 月 25 日
对现有策略的更新

策略:AmazonElasticFileSystemFullAccess

Amazon EFS 添加了新的权限,允许主体创建、描述和删除 Amazon EFS 复制。需要这些权限才能允许用户管理文件系统复制配置。

2022 年 1 月 25 日

已开启跟踪策略

策略:AmazonElasticFileSystemClientReadWriteAccess

向 NFS 客户端授予对 Amazon EFS 文件系统的读写权限。

2022 年 1 月 3 日

已开启跟踪策略

策略:AmazonElasticFileSystemServiceRolePolicy

Amazon EFS 的服务相关角色权限。

2021 年 10 月 8 日

对现有策略的更新

策略:AmazonElasticFileSystemFullAccess

Amazon EFS 添加了新权限,允许主体修改和描述 Amazon EFS 账户首选项。需要这些权限才能允许用户在 Amazon EFS 控制台中查看和设置账户首选项设置。

2021 年 5 月 7 日

对现有策略的更新

策略:AmazonElasticFileSystemReadOnlyAccess

Amazon EFS 添加了新权限,允许主体描述 Amazon EFS 账户首选项。需要这些权限才能允许用户在 Amazon EFS 控制台中查看账户首选项设置。

2021 年 5 月 7 日

Amazon EFS 已开始跟踪更改

Amazon EFS 已开始跟踪其 Amazon 托管式策略的更改。

2021 年 5 月 7 日