本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Amazon Elastic File System
本节的示例介绍如何授予或拒绝各 Amazon EFS 操作的权限。亚马逊 EFS 文件系统策略有 20,000 个字符的限制。有关基于资源的策略的元素的信息,请参阅Amazon EFS 内基于资源的策略。
重要
如果您向文件系统策略中的单个 IAM 用户或角色授予权限,则在该策略对文件系统生效期间,请勿删除或重新创建该用户或角色。如果这样做,该用户或角色将实际在文件系统中锁定,并且将无法访问该用户或角色。有关更多信息,请参阅《IAM 用户指南》中的 “指定委托人”。
有关如何创建文件系统策略的信息,请参阅创建文件系统策略。
示例:授予对特定Amazon角色的读写访问权限
在此示例中,EFS 文件系统策略具有以下特征:
-
效果是
Allow。 -
在中将主体设置为 Testing_RoleAmazon Web Services 账户。
-
操作设置为
ClientMount(读取)和ClientWrite。 -
授予权限的条件设置为
AccessedViaMountTarget。
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
示例:授予只读访问权限
以下文件系统策略仅EfsReadOnly向 IAM 角色授予ClientMount权限或只读权限。
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
要了解如何设置其他文件系统策略,包括拒绝除特定管理工作站之外的所有 IAM 委托人的根访问权限,请参阅演练:使用 IAM 授权为 NFS 客户端启用根目录压缩。
示例:授予对 EFS 接入点的访问权限
您可以使用 EFS 访问策略为 NFS 客户端提供 EFS 文件系统上基于共享文件的数据集的特定应用程序视图。您可以使用文件系统策略向访问点授予对文件系统的权限。
此文件策略示例使用条件元素向由其 ARN 标识的特定访问点授予对文件系统的完全访问权限。
有关使用 EFS 访问点的更多信息,请参阅使用 Amazon EFS 访问点。
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }