使用 IAM 强制创建加密文件系统 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 强制创建加密文件系统

您可以创建Amazon Identity and Access Management(IAM) 基于身份的策略,用于控制用户是否可以创建静态加密的 Amazon EFS 文件系统。布尔条件键elasticfilesystem:Encrypted指定策略应用到的文件系统类型(加密或未加密)。将条件键与elasticfilesystem:CreateFileSystem操作和策略效果(允许或拒绝)创建用于创建加密或未加密文件系统的策略。

例如,一个明确的 IAM 策略允许用户只创建加密的 EFS 文件系统使用以下效果、操作和条件组合:

  • EffectAllow

  • Actionelasticfilesystem:CreateFileSystem

  • 这些区域有:Condition elasticfilesystem:EncryptedTrue

以下示例说明了一个基于身份的 IAM 策略,该策略授权委托人仅创建加密的文件系统。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition": { "Bool": { "elasticfilesystem:Encrypted": "true" } }, "Resource": "*" } ] }

如果此策略附加到尝试创建未加密文件系统的用户,请求将失败。用户会看到一条类似于以下内容的消息,无论他们正在使用Amazon Web Services Management Console,Amazon CLI,或AmazonAPI 或开发工具包:

User: arn:aws:iam::111122223333:user/username is not authorized to perform: elasticfilesystem:CreateFileSystem on the specified resource.

显式的 IAM 策略允许只创建未加密的 EFS 文件系统可以使用以下效果、操作和条件组合:

  • EffectAllow

  • Actionelasticfilesystem:CreateFileSystem

  • 这些区域有:Condition elasticfilesystem:EncryptedFalse

以下示例说明了一个基于身份的 IAM 策略,该策略授权委托人仅创建未加密的文件系统。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition": { "Bool": { "elasticfilesystem:Encrypted": "false" } }, "Resource": "*" } ] }

如果此策略附加到尝试创建加密文件系统的用户,请求将失败。用户会看到一条类似于以下内容的消息,无论他们正在使用Amazon Web Services Management Console,Amazon CLI,或AmazonAPI 或开发工具包:

User: arn:aws:iam::111122223333:user/username is not authorized to perform: elasticfilesystem:CreateFileSystem on the specified resource.

您也可以在Amazon Organizations服务控制策略 (SCP),强 EFS 为所有Amazon Web Services 账户组织中的。有关Amazon Organizations,请参阅服务控制策略中的Amazon Organizations用户指南

创建一个 IAM 策略,授权用户仅创建加密的 efs 文件系统

您可以创建基于 IAM 身份的策略,该策略授权 EFS 户仅使用控制台、Amazon CLI,以及 API。以下过程介绍如何使用 IAM 控制台创建此类策略,然后将该策略应用于您账户中的用户。

创建 IAM 策略以强制创建加密 EFS 文件系统

  1. 登录 Amazon Web Services Management Console,单击 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中的访问管理中,选择策略

  3. 选择创建策略显示创建策略页.

  4. 输入以下信息,使用可视化编辑器

    • 适用于服务中,选择EFS

    • 适用于操作,输入create在搜索字段中,然后选择CreateFileSystem

    • 适用于请求条件中,选择Encrypted

  5. 选择查看策略显示查看策略页.

  6. 提供名称说明,以获取策略。验证策略摘要,包括Encrypted请求条件。选择创建策略创建策略。

将策略应用于您帐户中的用户

  1. 在 IAM 控制台中的访问管理中,选择用户

  2. 选择要将策略应用到的用户。

  3. 选择添加权限显示添加权限页.

  4. 选择直接附加现有策略

  5. 输入您在上一个过程中创建的 EFS 策略的名称。

  6. 选择并展开此策略。然后选择 。{} JSON以验证策略内容。它应与以下 JSON 策略类似。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition":{ "Bool": { "elasticfilesystem:Encrypted": "true" } }, "Resource": "*" } ] }
  7. 选择 Next:。审核

  8. 选择添加权限将策略应用于用户。此用户现在只能创建静态加密的 Amazon EFS 文件系统。