使用 IAM 强制创建加密的文件系统 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 强制创建加密的文件系统

您可以创建Amazon Identity and Access Management(IAM) 基于身份的策略,用于控制用户是否可以创建静态加密的 Amazon EFS 文件系统。布尔条件键elasticfilesystem:Encrypted指定应用策略的文件系统的类型,无论是加密还是未加密。将条件键与elasticfilesystem:CreateFileSystem操作和策略效果,允许或拒绝,以创建用于创建加密或未加密文件系统的策略。

例如,一个明确的 IAM 策略允许仅创建加密的 EFS 文件系统的用户使用以下效果、操作和条件的组合:

  • EffectAllow

  • Actionelasticfilesystem:CreateFileSystem

  • 这些区域有:Condition elasticfilesystem:EncryptedTrue.

以下示例说明了基于 IAM 身份的策略,该策略授权委托人只能创建加密的文件系统。

{ "Statement": [ { "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition": { "Bool": { "elasticfilesystem:Encrypted": "true" } }, "Resource": "*" } ] }

如果此策略附加到试图创建未加密文件系统的用户,则请求将失败。用户会看到一条类似于以下内容的消息,无论他们使用Amazon Web Services Management Console,Amazon CLI,或者AmazonAPI 或开发工具包:

User: arn:aws:iam::111122223333:user/username is not authorized to perform: elasticfilesystem:CreateFileSystem on the specified resource.

显式的 IAM 策略允许只创建未加密的 EFS 文件系统可以使用以下效果、操作和条件的组合:

  • EffectAllow

  • Actionelasticfilesystem:CreateFileSystem

  • 这些区域有:Condition elasticfilesystem:EncryptedFalse.

以下示例说明了基于 IAM 身份的策略,该策略授权委托人仅创建未加密的文件系统。

{ "Statement": [ { "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition": { "Bool": { "elasticfilesystem:Encrypted": "false" } }, "Resource": "*" } ] }

如果此策略附加到尝试创建加密文件系统的用户,则请求将失败。用户会看到一条类似于以下内容的消息,无论他们使用Amazon Web Services Management Console,Amazon CLI,或者AmazonAPI 或开发工具包:

User: arn:aws:iam::111122223333:user/username is not authorized to perform: elasticfilesystem:CreateFileSystem on the specified resource.

您也可以使用与前面的示例类似的策略Amazon Organizations服务控制策略 (SCP),强制为所有人创建加密的 Amazon EFS 文件系统Amazon Web Services 账户组织中的。有关服务控制策略的更多信息Amazon Organizations,请参阅服务控制策略中的Amazon Organizations用户指南.

创建 IAM 策略,授权用户仅创建加密的 efs 文件系统

您可以创建基于 IAM 身份的策略,该策略授权用户只能使用控制台创建加密的 Amazon EFS 文件系统,Amazon CLI,以及 API。以下过程介绍了如何使用 IAM 控制台创建此类策略,然后将该策略应用于账户中的用户。

创建 IAM 策略以强制创建加密的 EFS 文件系统

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中的下访问管理,选择策略.

  3. 选择创建策略显示创建策略页.

  4. 输入以下信息,请使用可视化编辑器

    • 适用于服务,选择EFS.

    • 适用于操作输入create在搜索字段中,然后选择CreateFileSystem.

    • 适用于请求条件,选择Encrypted.

  5. 选择查看策略显示查看策略页.

  6. 提供名称说明对于该政策。验证策略摘要,包括Encrypted请求条件。选择创建策略创建策略。

将策略应用于账户中的用户

  1. 在 IAM 控制台中的下访问管理,选择用户.

  2. 选择要将策略应用到的用户。

  3. 选择添加权限显示添加权限页.

  4. 选择 Attach existing policies directly(直接附上现有策略)。

  5. 输入您在上一个过程中创建的 EFS 策略名称。

  6. 选择并展开策略。然后选择 。{} JSON以验证策略内容。它应该类似以下 JSON 策略。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "elasticfilesystem:CreateFileSystem", "Condition":{ "Bool": { "elasticfilesystem:Encrypted": "true" } }, "Resource": "*" } ] }
  7. 选择 Next:。审核

  8. 选择添加权限将策略应用于用户。此用户现在只能创建静态加密的 Amazon EFS 文件系统。