适用于 Amazon EFS 的基于资源的策略示例 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon EFS 的基于资源的策略示例

在本节中,您可以找到为各种 Amazon EFS 操作授予或拒绝权限的示例文件系统策略。Amazon EFS 文件系统策略有 2 万个字符的限制。有关基于资源的策略的元素的信息,请参阅Amazon EFS 基于资源的策略

重要

如果您在文件系统策略中向单个 IAM 用户或角色授予权限,则不要在策略在文件系统上有效时删除或重新创建该用户或角色。如果这样做,该用户或角色将实际在文件系统中锁定,并且将无法访问该用户或角色。有关更多信息,请参阅《IAM 用户指南》中的指定主体

有关如何创建系统策略的信息,请参阅创建文件系统策略

示例:向特定 Amazon 角色授予读写访问权限

在此示例中,EFS 文件系统策略具有以下特征:

  • 效果是 Allow

  • Amazon Web Services 账户中的主体设置为 Testing_Role。

  • 操作设置为 ClientMount(读取)和 ClientWrite

  • 授予权限的条件设置为 AccessedViaMountTarget

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }

示例:授予只读访问权限

以下文件系统策略仅向 EfsReadOnly IAM 角色授予 ClientMount 或只读权限。

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

要了解如何设置其他文件系统策略,包括拒绝对所有 IAM 主体(特定管理工作站除外)的根访问权限,请参阅使用 IAM 授权为 NFS 客户端启用根挤压

示例:授予对 EFS 接入点的访问权限

您可以使用 EFS 访问策略向 NFS 客户端提供 EFS 文件系统上基于文件的共享数据集的应用程序特定视图。您可以使用文件系统策略向访问点授予对文件系统的权限。

此文件策略示例使用条件元素向由其 ARN 标识的特定访问点授予对文件系统的完全访问权限。

有关使用 EFS 接入点的更多信息,请参阅使用 Amazon EFS 接入点工作

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }