Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wird IAM zur Steuerung des Datenzugriffs auf Dateisysteme verwendet
Sie können sowohl IAM Identitätsrichtlinien als auch Ressourcenrichtlinien verwenden, um den Kundenzugriff auf EFS Amazon-Ressourcen auf skalierbare und für Cloud-Umgebungen optimierte Weise zu steuern. Mit IAM dieser Option können Sie es Clients ermöglichen, bestimmte Aktionen auf einem Dateisystem auszuführen, einschließlich Schreibschutz, Schreibzugriff und Root-Zugriff. Eine „Zulassen“ -Berechtigung für eine Aktion in einer IAM Identitätsrichtlinie oder einer Dateisystem-Ressourcenrichtlinie ermöglicht den Zugriff für diese Aktion. Die Genehmigung muss nicht sowohl in einer Identitäts- als auch in einer Ressourcenrichtlinie erteilt werden.
NFSClients können sich anhand einer IAM Rolle identifizieren, wenn sie eine Verbindung zu einem EFS Dateisystem herstellen. Wenn ein Client eine Verbindung zu einem Dateisystem herstellt, EFS bewertet Amazon die IAM Ressourcenrichtlinie des Dateisystems, die als Dateisystemrichtlinie bezeichnet wird, zusammen mit allen identitätsbasierten IAM Richtlinien, um die entsprechenden Zugriffsberechtigungen für das Dateisystem zu ermitteln, die erteilt werden sollen.
Wenn Sie die IAM Autorisierung für NFS Clients verwenden, werden Client-Verbindungen und IAM Autorisierungsentscheidungen protokolliert. AWS CloudTrail Weitere Informationen zum Protokollieren von EFS API Amazon-Anrufen mit CloudTrail finden Sie unterEFSAPIAmazon-Anrufe protokollieren mit AWS CloudTrail.
Wichtig
Sie müssen den EFS Mount-Helper verwenden, um Ihre EFS Amazon-Dateisysteme zu mounten, um die IAM Autorisierung zur Steuerung des Client-Zugriffs zu verwenden. Weitere Informationen finden Sie unter Montage mit Autorisierung IAM.
EFSStandard-Dateisystemrichtlinie
Die EFS Standard-Dateisystemrichtlinie verwendet IAM keine Authentifizierung und gewährt allen anonymen Clients, die über ein Mount-Ziel eine Verbindung zum Dateisystem herstellen können, vollen Zugriff. Die Standardrichtlinie ist immer dann in Kraft, wenn eine vom Benutzer konfigurierte Dateisystemrichtlinie nicht in Kraft ist, auch bei der Erstellung des Dateisystems. Immer wenn die Standard-Dateisystemrichtlinie in Kraft ist, gibt ein DescribeFileSystemPolicy API Vorgang eine PolicyNotFound Antwort zurück.
EFSAktionen für Kunden
Sie können die folgenden Aktionen für Clients festlegen, die über eine Dateisystemrichtlinie auf ein Dateisystem zugreifen.
| Aktion | Beschreibung |
|---|---|
|
|
Ermöglicht den Nur-Lese-Zugriff auf ein Dateisystem. |
|
|
Bietet Schreibrechte für ein Dateisystem. |
|
|
Ermöglicht die Verwendung des Root-Benutzers beim Zugriff auf ein Dateisystem. |
EFSBedingungsschlüssel für Kunden
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Amazon EFS hat die folgenden vordefinierten Bedingungsschlüssel für NFS Kunden. Alle anderen Bedingungsschlüssel werden nicht durchgesetzt, wenn IAM Kontrollen zur Sicherung des Zugriffs auf EFS Dateisysteme verwendet werden.
| EFSBedingungsschlüssel | Beschreibung | Operator |
|---|---|---|
aws:SecureTransport |
Verwenden Sie diesen Schlüssel, um zu verlangen, dass Clients ihn verwendenTLS, wenn sie eine Verbindung zu einem EFS Dateisystem herstellen. |
Boolesch |
aws:SourceIp |
Private IP-Adresse des Clients, der auf ein EFS Dateisystem zugreift. | String |
elasticfilesystem:AccessPointArn |
ARNdes EFS Access Points, zu dem der Client eine Verbindung herstellt. | String |
elasticfilesystem:AccessedViaMountTarget |
Verwenden Sie diesen Schlüssel, um den Zugriff auf ein EFS Dateisystem durch Clients zu verhindern, die keine Dateisystem-Mount-Ziele verwenden. | Boolesch |
Beispiele für Dateisystemrichtlinien
Beispiele für EFS Amazon-Dateisystemrichtlinien finden Sie unterBeispiele für ressourcenbasierte Richtlinien für Amazon EFSAmazon EFS.
