使用 IAM 强制创建加密的文件系统 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 强制创建加密的文件系统

您可以创建基于身份的 AWS Identity and Access Management (IAM) 策略,以控制用户是否可以创建静态加密的Amazon EFS文件系统。布尔条件键elasticfilesystem:Encrypted指定策略适用于的文件系统的类型(加密或未加密)。您可以将 条件键与 elasticfilesystem:CreateFileSystem 操作和 策略效果(允许或拒绝)一起使用,以创建用于创建加密或未加密的文件系统的策略。

例如,明确允许用户创建仅加密 EFS 文件系统的 IAM 策略使用以下效果、操作和条件的组合:

  • EffectAllow

  • Actionelasticfilesystem:CreateFileSystem

  • Condition elasticfilesystem:EncryptedTrue

以下示例说明了授权委托人仅创建加密文件系统的基于身份的 IAM 策略。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition": { "Bool": { "elasticfilesystem:Encrypted": "true" } }, "Resource": "*" } ] }

如果此策略附加到尝试创建未加密文件系统的用户,则请求将失败。无论用户使用的是 AWS 管理控制台、 还是 AWS CLI AWS API 或开发工具包,都会看到类似于以下内容的消息:

User: arn:aws:iam::111122223333:user/username is not authorized to perform: elasticfilesystem:CreateFileSystem on the specified resource.

明确允许仅创建未加密的 EFS 文件系统的 IAM 策略可以使用以下效果、操作和条件的组合:

  • EffectAllow

  • Actionelasticfilesystem:CreateFileSystem

  • Condition elasticfilesystem:EncryptedFalse

以下示例说明授权委托人仅创建未加密文件系统的基于身份的 IAM 策略。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition": { "Bool": { "elasticfilesystem:Encrypted": "false" } }, "Resource": "*" } ] }

如果此策略附加到尝试创建加密文件系统的用户,则请求将失败。无论用户使用的是 AWS 管理控制台、 还是 AWS CLI AWS API 或开发工具包,都会看到类似于以下内容的消息:

User: arn:aws:iam::111122223333:user/username is not authorized to perform: elasticfilesystem:CreateFileSystem on the specified resource.

您还可以使用 AWS Organizations 服务控制策略 (SCP) 中的上述示例等策略,强制为组织中的所有 AWS 账户创建加密的Amazon EFS文件系统。有关 中的服务控制策略的更多信息AWS Organizations,请参阅 中的https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp服务控制策略AWS Organizations 用户指南

创建授权用户仅创建加密 EFS 文件系统的 IAM 策略

您可以创建一个基于IAM身份的策略,该策略授权用户仅使用 控制台Amazon EFS、 和 API 创建加密的AWS CLI文件系统。以下过程介绍如何使用 IAM 控制台创建此类策略,然后将该策略应用于您账户中的用户。

创建 IAM 策略以强制创建加密的 EFS 文件系统

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中的 Access management (访问管理) 下,选择 Policies (策略)。

  3. 选择 Create policy (创建策略) 以显示 Create policy (创建策略) 页面。

  4. 使用可视化编辑器输入以下信息:

    • 对于 Service (服务),选择 EFS

    • 对于 Actions (操作create),在搜索字段中输入 ,然后选择 CreateFileSystem

    • 对于 Request conditions (请求条件),选择 Encrypted (已加密)。

  5. 选择查看策略以显示查看策略页面。

  6. 为策略提供 Name (名称) 和 Description (描述)。验证策略摘要,包括加密请求条件。选择 Create policy (创建策略) 以创建策略。

将策略应用于您账户中的用户

  1. 在 IAM 控制台中的 Access management (访问管理) 下,选择 Users (用户)。

  2. 选择要应用策略的用户。

  3. 选择 Add permissions (添加权限) 以显示 Add permissions (添加权限) 页面。

  4. 选择直接附加现有策略

  5. 输入您在上一过程中创建的 EFS 策略的名称。

  6. 选择并展开策略。然后选择 {}JSON 以验证策略内容。它应类似于以下 JSON 策略。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition":{ "Bool": { "elasticfilesystem:Encrypted": "true" } }, "Resource": "*" } ] }
  7. 选择 Next: Review (下一步: 审核)

  8. 选择 Add permissions (添加权限) 以将策略应用于用户。该用户现在只能创建静态加密的Amazon EFS文件系统。