Benutzer, Gruppen und Berechtigungen auf Netzwerkdateisystem (NFS) - Amazon Elastic File System
Beispiele für Anwendungsfälle und Berechtigungen für das EFS Amazon-DateisystemBenutzer- und Gruppen-ID-Berechtigungen für Dateien und Verzeichnisse innerhalb eines DateisystemsKein Root-SquashingZwischenspeichern von BerechtigungenÄndern des Besitzes an DateisystemobjektenEFSZugriffspunkte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzer, Gruppen und Berechtigungen auf Netzwerkdateisystem (NFS)

Nach dem Erstellen eines Dateisystems hat standardmäßig nur der Root-Benutzer (UID0) Lese-, Schreib- und Ausführungsberechtigungen. Damit auch andere Benutzer das Dateisystem ändern können, muss Ihnen der Root-Benutzer ausdrücklich Zugriff gewähren. Sie können mithilfe von Zugangspunkten die Erstellung von Verzeichnissen automatisieren, von denen ein Nicht-Root-Benutzer schreiben kann. Weitere Informationen finden Sie unter Arbeiten mit Amazon-EFS-Zugangspunkten.

EFSAmazon-Dateisystemobjekten ist ein Modus im UNIX-Stil zugeordnet. Dieser Moduswert definiert die Berechtigungen zum Ausführen von Aktionen für dieses Objekt. Benutzer, die mit Systemen im UNIX-Stil vertraut sind, können leicht verstehen, wie Amazon EFS sich in Bezug auf diese Berechtigungen verhält.

Darüber hinaus werden auf Systemen im UNIX-Stil Benutzer und Gruppen numerischen Identifikatoren zugeordnet, die Amazon EFS verwendet, um den Dateibesitz darzustellen. Für Amazon EFS gehören Dateisystemobjekte (d. h. Dateien, Verzeichnisse usw.) einem einzelnen Eigentümer und einer einzelnen Gruppe. Amazon EFS verwendet die zugeordnete ZahlIDs, um Berechtigungen zu überprüfen, wenn ein Benutzer versucht, auf ein Dateisystemobjekt zuzugreifen.

Anmerkung

Das NFS Protokoll unterstützt maximal 16 Gruppen IDs (GIDs) pro Benutzer, und alle weiteren Gruppen GIDs werden bei NFS Client-Anfragen gekürzt. Weitere Informationen finden Sie unter Zugriff auf erlaubte Dateien im NFS Dateisystem verweigert.

Im Folgenden finden Sie Beispiele für Berechtigungen und eine Diskussion über Überlegungen zu NFS Berechtigungen für AmazonEFS.

Themen

Beispiele für Anwendungsfälle und Berechtigungen für das EFS Amazon-Dateisystem

Nachdem Sie ein EFS Amazon-Dateisystem erstellt und Ziele für das Dateisystem in Ihrem bereitgestellt habenVPC, können Sie das Remote-Dateisystem lokal auf Ihrer EC2 Amazon-Instance mounten. Mit dem Befehl mount kann jedes Verzeichnis im Dateisystem gemountet werden. Beim ersten Erstellen des Dateisystems ist jedoch nur ein Stammverzeichnis unter / vorhanden. Der Root-Benutzer und die Root-Gruppe sind Besitzer des gemounteten Verzeichnisses.

Mit dem folgenden mount Befehl wird das Stammverzeichnis eines EFS Amazon-Dateisystems, das durch den DNS Dateisystemnamen identifiziert wird, im /efs-mount-point lokalen Verzeichnis bereitgestellt.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

Im ursprünglichen Berechtigungsmodus gelten folgende Berechtigungen:

  • Berechtigungen read-write-execute für den Root-Besitzer

  • Berechtigungen read-execute für die Root-Gruppe

  • Berechtigungen read-execute für andere Benutzer

Dieses Verzeichnis kann nur vom Root-Benutzer geändert werden. Der Root-Benutzer kann auch anderen Benutzern Schreibberechtigung für dieses Verzeichnis erteilen, beispielsweise:

  • Erstellen beschreibbarer Unterverzeichnisse für die einzelnen Benutzer. step-by-step Anweisungen finden Sie unterTutorial: Schreibbare Unterverzeichnisse pro Benutzer erstellen.

  • Erlauben Sie Benutzern, in das EFS Amazon-Dateisystem-Stammverzeichnis zu schreiben. Ein Benutzer mit Root-Berechtigung kann anderen Benutzern Zugriff auf das Dateisystem erteilen.

    • Um den Besitz des EFS Amazon-Dateisystems auf einen Nicht-Root-Benutzer und eine Gruppe zu ändern, verwenden Sie Folgendes:

      $ sudo chown user:group /EFSroot

    • Verwenden Sie den folgenden Befehl, um die Dateisystemberechtigungen auszuweiten:

      $ sudo chmod 777 /EFSroot

      Dieser Befehl gewährt allen Benutzern read-write-execute Rechte auf allen EC2 Instances, auf denen das Dateisystem gemountet ist.

Benutzer- und Gruppen-ID-Berechtigungen für Dateien und Verzeichnisse innerhalb eines Dateisystems

Dateien und Verzeichnisse in einem EFS Amazon-Dateisystem unterstützen standardmäßige Lese-, Schreib- und Ausführungsberechtigungen im UNIX-Stil, die auf der Benutzer-ID und Gruppe basieren. IDs Wenn ein NFS Client ein EFS Dateisystem einhängt, ohne einen Access Point zu verwenden, gilt die vom Client angegebene Benutzer-ID und Gruppen-ID als vertrauenswürdig. Sie können EFS Access Points verwenden, um die vom NFS Client IDs verwendete Benutzer-ID und Gruppe zu überschreiben. Wenn Benutzer versuchen, auf Dateien und Verzeichnisse zuzugreifen, EFS überprüft Amazon ihren Benutzer IDs und ihre Gruppe, IDs um sicherzustellen, dass jeder Benutzer berechtigt ist, auf die Objekte zuzugreifen. Amazon verwendet diese EFS auchIDs, um den Eigentümer und Gruppenbesitzer für neue Dateien und Verzeichnisse anzugeben, die der Benutzer erstellt. Amazon untersucht EFS keine Benutzer- oder Gruppennamen, sondern verwendet nur die numerischen Identifikatoren.

Anmerkung

Wenn Sie einen Benutzer für eine EC2 Instance erstellen, können Sie dem Benutzer eine beliebige numerische Benutzer-ID (UID) und Gruppen-ID (GID) zuweisen. Die numerischen Benutzer IDs sind auf Linux-Systemen in der /etc/passwd Datei festgelegt. Die numerische Gruppe IDs befindet sich in der /etc/group Datei. Diese Dateien definieren die Zuordnungen zwischen Namen und. IDs Außerhalb der EC2 Instance führt Amazon EFS keine Authentifizierung dieser durchIDs, einschließlich der Root-ID 0.

Wenn ein Benutzer von zwei verschiedenen EC2 Instanzen aus auf ein EFS Amazon-Dateisystem zugreift, sehen Sie je nachdem, ob der UID für den Benutzer auf diesen Instances identisch oder unterschiedlich ist, ein unterschiedliches Verhalten wie folgt:

  • Wenn die Benutzer auf beiden EC2 Instanzen identisch IDs sind, EFS geht Amazon davon aus, dass sie denselben Benutzer angeben, unabhängig von der verwendeten EC2 Instance. Die Benutzererfahrung beim Zugriff auf das Dateisystem ist in beiden EC2 Instances dieselbe.

  • Wenn die Benutzer in beiden EC2 Instanzen IDs nicht identisch sind, EFS betrachtet Amazon die Benutzer als unterschiedliche Benutzer. Die Benutzererfahrung ist nicht dieselbe, wenn von den beiden verschiedenen EC2 Instanzen aus auf das EFS Amazon-Dateisystem zugegriffen wird.

  • Wenn sich zwei verschiedene Benutzer auf verschiedenen EC2 Instanzen eine ID teilen, EFS betrachtet Amazon sie als denselben Benutzer.

Sie könnten erwägen, Benutzer-ID-Zuordnungen für alle EC2 Instanzen einheitlich zu verwalten. Benutzer können ihre numerische ID mit dem Befehl id überprüfen.

$ id 

uid=502(joe) gid=502(joe) groups=502(joe)

Ausschalten des ID-Mappers

Zu den NFS Dienstprogrammen im Betriebssystem gehört ein Daemon namens ID Mapper, der die Zuordnung zwischen Benutzernamen und verwaltet. IDs In Amazon Linux heißt der Daemon rpc.idmapd und in Ubuntu idmapd. Er übersetzt Benutzer und Gruppe IDs in Namen und umgekehrt. Amazon EFS befasst sich jedoch nur mit numerischen DatenIDs. Wir empfehlen Ihnen, diesen Prozess auf Ihren EC2 Instances zu deaktivieren. Auf Amazon Linux ist der ID-Mapper ist in der Regel deaktiviert. Falls nicht, aktivieren Sie ihn nicht. Um den ID-Mapper zu deaktivieren, verwenden Sie die im Folgenden dargestellten Befehle.

$  service rpcidmapd status
$  sudo service rpcidmapd stop

Kein Root-Squashing

Standardmäßig ist Root-Squashing auf EFS Dateisystemen deaktiviert. Amazon EFS verhält sich wie ein NFS Linux-Server mitno_root_squash. Wenn eine Benutzer- oder Gruppen-ID 0 ist, EFS behandelt Amazon diesen Benutzer als den root Benutzer und umgeht Berechtigungsprüfungen (was den Zugriff auf und die Änderung aller Dateisystemobjekte ermöglicht). Root-Squashing kann auf einer Client-Verbindung aktiviert werden, wenn die Identitäts- oder Ressourcenrichtlinie AWS Identity and Access Management (AWS IAM) keinen Zugriff auf die ClientRootAccess Aktion zulässt. Wenn Root-Squashing aktiviert ist, wird der Root-Benutzer in einen Benutzer mit eingeschränkten Rechten auf dem NFS Server umgewandelt.

Weitere Informationen finden Sie unter Wird IAM zur Steuerung des Datenzugriffs auf Dateisysteme verwendet.

Aktivieren Sie Root-Squashing mithilfe der IAM Autorisierung für Clients NFS

Sie können Amazon so konfigurierenEFS, dass der Root-Zugriff auf Ihr EFS Amazon-Dateisystem für alle AWS Prinzipale außer für eine einzelne Management-Workstation verhindert wird. Dazu konfigurieren Sie die AWS Identity and Access Management (IAM) -Autorisierung für Network File System (NFS) -Clients.

Dazu müssen Sie zwei IAM Berechtigungsrichtlinien wie folgt konfigurieren:

  • Erstellen Sie eine EFS Dateisystemrichtlinie, die explizit Lese- und Schreibzugriff auf das Dateisystem erlaubt und implizit den Root-Zugriff verweigert.

  • Weisen Sie der EC2 Amazon-Management-Workstation, die Root-Zugriff auf das Dateisystem benötigt, mithilfe eines EC2 Amazon-Instance-Profils eine IAM Identität zu. Weitere Informationen zu EC2 Amazon-Instance-Profilen finden Sie unter Verwenden von Instance-Profilen im AWS Identity and Access Management Benutzerhandbuch.

  • Weisen Sie die AmazonElasticFileSystemClientFullAccess AWS verwaltete Richtlinie der IAM Rolle der Management-Workstation zu. Weitere Informationen zu AWS verwalteten Richtlinien für EFS finden Sie unterIdentitäts- und Zugriffsmanagement für Amazon EFS.

Gehen Sie wie folgt vor, um Root-Squashing mithilfe der IAM Autorisierung für NFS Clients zu aktivieren.

So verhindern Sie den Root-Zugriff auf das Dateisystem

  1. Öffnen Sie die Amazon Elastic File System-Konsole unter https://console.aws.amazon.com/efs/.

  2. Wählen Sie Dateisysteme aus.

  3. Wählen Sie das Dateisystem aus, auf dem Sie Root-Squashing aktivieren möchten.

  4. Wählen Sie auf der Seite Dateisystemdetails die Option Dateisystemrichtlinie und dann Bearbeiten. Die Seite File system policy (Dateisystemrichtlinie) wird angezeigt.

  5. Wählen Sie Root-Zugriff standardmäßig verhindern* unter Richtlinienoptionen. Das JSON Richtlinienobjekt wird im Richtlinieneditor angezeigt.

  6. Wählen Sie Speichern, um die Dateisystemrichtlinie zu speichern.

Clients, die nicht anonym sind, können über eine identitätsbasierte Richtlinie Root-Zugriff auf das Dateisystem erhalten. Wenn Sie die AmazonElasticFileSystemClientFullAccess verwaltete Richtlinie an die Rolle der Arbeitsstation anhängen, wird der Arbeitsstation auf der Grundlage ihrer Identitätsrichtlinie Root-Zugriff IAM gewährt.

So aktivieren Sie den Root-Zugriff von der Management-Workstation aus:

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Erstellen Sie eine Rolle für Amazon EC2 namensEFS-client-root-access. IAMerstellt ein Instanzprofil mit demselben Namen wie die von Ihnen erstellte EC2 Rolle.

  3. Weisen Sie die AWS verwaltete Richtlinie der EC2 Rolle AmazonElasticFileSystemClientFullAccess zu, die Sie erstellt haben. Der Inhalt dieser Richtlinie wird im Folgenden dargestellt.

    {
    "Version”: "2012-10-17",
    "Statement": [
     {
         "Effect": "Allow",
         "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientRootAccess",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:DescribeMountTargets"
         ],
         "Resource": "*"
     }
 ]
}

  4. Hängen Sie das Instanzprofil wie unten beschrieben an die EC2 Instanz an, die Sie als Management-Workstation verwenden. Weitere Informationen finden Sie unter Anhängen einer IAM Rolle an eine Instance im EC2Amazon-Benutzerhandbuch für Linux-Instances.

    1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

    2. Wählen Sie im Navigationsbereich Instances aus.

    3. Wählen Sie die Instance aus. Wählen Sie für Aktionen die Option Instance-Einstellungen und anschließend Rolle anhängen/ersetzen IAM aus.

    4. Wählen Sie die IAM Rolle aus, die Sie im ersten Schritt erstellt habenEFS-client-root-access, und klicken Sie auf Anwenden.

  5. Installieren Sie den EFS Mount Helper auf der Management-Workstation. Weitere Hinweise zum EFS Mount-Helper und dem amazon-efs-utils Paket finden Sie unterDen Amazon EFS-Client installieren.

  6. Mounten Sie das EFS Dateisystem auf der Management-Workstation, indem Sie den folgenden Befehl mit der iam Mount-Option verwenden.

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Sie können die EC2 Amazon-Instance so konfigurieren, dass das Dateisystem automatisch mit IAM Autorisierung bereitgestellt wird. Weitere Informationen zum Mounten eines EFS Dateisystems mit IAM Autorisierung finden Sie unterMounting mit IAM-Autorisierung.

Zwischenspeichern von Berechtigungen

Amazon EFS speichert Dateiberechtigungen für einen kurzen Zeitraum zwischen. Infolgedessen kann es ein kurzes Zeitfenster geben, in dem ein Benutzer, dem vor kurzem der Zugriff entzogen wurde, immer noch auf dieses Objekt zugreifen kann.

Ändern des Besitzes an Dateisystemobjekten

Amazon EFS erzwingt das POSIX chown_restricted Attribut. Somit kann nur der Root-Benutzer den Besitzer eines Dateisystemobjekts ändern. Der Root-Benutzer oder der Eigentümerbenutzer können die Besitzergruppe eines Dateisystemobjekts ändern. Sofern es sich jedoch nicht um den Root-Benutzer handelt, kann die Gruppe nur in eine Gruppe geändert werden, welcher der Eigentümerbenutzer angehört.

EFSZugriffspunkte

Ein Zugangspunkt wendet Betriebssystembenutzer, -gruppe und -dateisystempfad auf alle Dateisystemanforderungen an, die mit dem Zugangspunkt durchgeführt werden. Der Betriebssystembenutzer und die Gruppe des Access Points haben Vorrang vor allen vom NFS Client bereitgestellten Identitätsinformationen. Der Dateisystempfad wird dem Client als Stammverzeichnis des Zugriffspunkts angezeigt. Durch diesen Ansatz wird sichergestellt, dass jede Anwendung beim Zugriff auf freigegebene dateibasierte Datasets immer die richtige Betriebssystemidentität und das richtige Verzeichnis verwendet. Anwendungen, die den Zugriffspunkt verwenden, können nur auf Daten in einem eigenen Verzeichnis und darunter zugreifen. Weitere Hinweise zu Zugangspunkten finden Sie unter Arbeiten mit Amazon-EFS-Zugangspunkten.