Amazon Elastic File System 的操作、资源和条件键 - 服务授权参考
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Elastic File System 的操作、资源和条件键

Amazon Elastic File System(服务前缀:elasticfilesystem)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon Elastic File System 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
Backup [仅权限] 授予为现有文件系统启动备份作业的权限 写入

file-system*

ClientMount [仅权限] 授予允许 NFS 客户端对文件系统进行读取访问的权限 Read

file-system*

elasticfilesystem:AccessPointArn

elasticfilesystem:AccessedViaMountTarget

ClientRootAccess [仅权限] 授予允许 NFS 客户端对文件系统进行根访问的权限 写入

file-system*

elasticfilesystem:AccessPointArn

elasticfilesystem:AccessedViaMountTarget

ClientWrite [仅权限] 授予允许 NFS 客户端对文件系统进行写入访问的权限 写入

file-system*

elasticfilesystem:AccessPointArn

elasticfilesystem:AccessedViaMountTarget

CreateAccessPoint 授予为指定文件系统创建访问点的权限 写入

file-system*

CreateFileSystem 授予创建新的空文件系统的权限 写入

aws:RequestTag/${TagKey}

aws:TagKeys

elasticfilesystem:Encrypted

CreateMountTarget 授予为文件系统创建挂载目标的权限 写入

file-system*

CreateTags 授予创建或覆盖与文件系统关联的标签的权限;如已弃用,请参阅 TagResource 标记

file-system*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAccessPoint 授予删除指定访问点的权限 写入

access-point*

DeleteFileSystem 授予删除文件系统的权限,永久终止访问其内容 写入

file-system*

DeleteFileSystemPolicy 授予删除文件系统的资源级策略的权限 写入

file-system*

DeleteMountTarget 授予删除指定挂载目标的权限 写入

file-system*

DeleteTags 授予从文件系统中删除指定标签的权限;如已弃用,请参阅 UntagResource 标记

file-system*

aws:TagKeys

DescribeAccessPoints 授予查看 Amazon EFS 接入点描述的权限 List

access-point

file-system

DescribeAccountPreferences 授予查看对账户有效的账户首选项的权限 List
DescribeBackupPolicy 授予查看 Amazon EFS 文件系统的 BackupPolicy 对象的权限 Read

file-system*

DescribeFileSystemPolicy 授予查看 Amazon EFS 文件系统的资源级策略的权限 Read

file-system

DescribeFileSystems 授予查看由文件系统 CreationToken 或 FileSystemId 指定的 Amazon EFS 文件系统描述的权限;或授予权限,以查看被调用的终端节点所在 AWS 区域中由调用者的 AWS 账户拥有的所有文件系统的描述 List

file-system

DescribeLifecycleConfiguration 授予查看 Amazon EFS 文件系统的 LifecycleConfiguration 对象的权限 Read

file-system*

DescribeMountTargetSecurityGroups 授予查看挂载目标的有效安全组的权限 Read
DescribeMountTargets 授予查看文件系统所有或特定挂载目标的描述的权限 Read

file-system*

access-point

DescribeTags 授予查看与文件系统关联的标签的权限 Read

file-system*

ListTagsForResource 授予查看与指定 Amazon EFS 资源关联的标签的权限 Read

access-point

file-system

ModifyMountTargetSecurityGroups 授予修改挂载目标的一组有效安全组的权限 写入
PutAccountPreferences 授予设置账户的账户首选项的权限 写入
PutBackupPolicy 授予通过创建新的 BackupPolicy 对象使用 AWS Backup 启用或禁用自动备份的权限 写入

file-system*

PutFileSystemPolicy 授予应用资源级策略的权限,该策略定义了指定文件系统中给定参与者允许或拒绝的操作 写入

file-system*

PutLifecycleConfiguration 授予通过创建新的 LifecycleConfiguration 对象启用生命周期管理的权限 写入

file-system*

Restore [仅权限] 授予启动文件系统备份的还原作业的权限 写入

file-system*

TagResource 授予创建或覆盖与指定 Amazon EFS 资源关联的标签的权限 标记

access-point

file-system

UntagResource 授予从 Amazon EFS 资源删除指定标签的权限 标记

access-point

file-system

UpdateFileSystem 授予更新现有文件系统的吞吐量模式或预置吞吐量的权限 写入

file-system*

Amazon Elastic File System 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作都标识了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
file-system arn:${Partition}:elasticfilesystem:${Region}:${Account}:file-system/${FileSystemId}

aws:ResourceTag/${TagKey}

access-point arn:${Partition}:elasticfilesystem:${Region}:${Account}:access-point/${AccessPointId}

aws:ResourceTag/${TagKey}

Amazon Elastic File System 的条件键

Amazon Elastic File System 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中允许的标签键值对筛选访问 字符串
aws:ResourceTag/${TagKey} 按某个资源的标签键值对筛选访问 字符串
aws:TagKeys 按请求中允许的标签键列表筛选访问 字符串
elasticfilesystem:AccessPointArn 按用于挂载文件系统的访问点的 ARN 筛选访问 字符串
elasticfilesystem:AccessedViaMountTarget 按是否通过挂载目标访问文件系统筛选访问 Bool
elasticfilesystem:Encrypted 按用户是否只能创建加密还是未加密的文件系统来筛选访问 Bool