适用于 Amazon EFS 的基于资源的策略示例
在本节中,您可以找到为各种 Amazon EFS 操作授予或拒绝权限的示例文件系统策略。Amazon EFS 文件系统策略有 2 万个字符的限制。有关基于资源的策略的元素的信息,请参阅Amazon EFS 基于资源的策略。
重要
如果您在文件系统策略中向单个 IAM 用户或角色授予权限,则不要在策略在文件系统上有效时删除或重新创建该用户或角色。如果这样做,该用户或角色将实际在文件系统中锁定,并且将无法访问该用户或角色。有关更多信息,请参阅《IAM 用户指南》中的指定主体。
有关如何创建系统策略的信息,请参阅创建文件系统策略。
示例:向特定 Amazon 角色授予读写访问权限
在此示例中,EFS 文件系统策略具有以下特征:
-
效果是
Allow
。 -
Amazon Web Services 账户中的主体设置为 Testing_Role。
-
操作设置为
ClientMount
(读取)和ClientWrite
。 -
授予权限的条件设置为
AccessedViaMountTarget
。
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
示例:授予只读访问权限
以下文件系统策略仅向 EfsReadOnly IAM 角色授予 ClientMount
或只读权限。
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
要了解如何设置其他文件系统策略,包括拒绝对所有 IAM 主体(特定管理工作站除外)的根访问权限,请参阅使用 IAM 授权为 NFS 客户端启用根挤压。
示例:授予对 EFS 接入点的访问权限
您可以使用 EFS 访问策略向 NFS 客户端提供 EFS 文件系统上基于文件的共享数据集的应用程序特定视图。您可以使用文件系统策略向访问点授予对文件系统的权限。
此文件策略示例使用条件元素向由其 ARN 标识的特定访问点授予对文件系统的完全访问权限。
有关使用 EFS 接入点的更多信息,请参阅使用 Amazon EFS 接入点工作。
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }