Bloquear el acceso público a los sistemas de archivos de EFS - Amazon Elastic File System
Bloqueo de acceso público con AWS Transfer FamilyQué significa "pública"

Bloquear el acceso público a los sistemas de archivos de EFS

La característica de bloqueo de acceso público de Amazon EFS proporciona ajustes que le ayudarán a administrar el acceso público a los sistemas de archivos de EFS. De forma predeterminada, los sistemas de archivos de EFS nuevos no permiten el acceso público. Sin embargo, puede modificar las políticas del sistema de archivos para permitirlo.

importante

Habilitar Bloqueo de acceso público ayuda a proteger sus recursos al impedir que el acceso público se conceda a través de las políticas de recursos que se adjuntan directamente al sistema de archivos. Además de habilitar Bloqueo de acceso público, examine detenidamente las siguientes políticas para confirmar que no conceden acceso público:

  • Políticas basadas en identidades adjuntas a las entidades principales de AWS asociadas (por ejemplo, los roles de IAM)

  • Políticas basadas en recursos adjuntas a recursos de AWS asociados (por ejemplo, claves de AWS Key Management Service (KMS))

Bloqueo de acceso público con AWS Transfer Family

Cuando se utiliza Amazon EFS con AWS Transfer Family, las solicitudes de acceso al sistema de archivos recibidas de un servidor de Transfer Family que sea propiedad de una cuenta diferente a la del sistema de archivos se bloquean si el sistema de archivos permite el acceso público. Amazon EFS evalúa las políticas de IAM del sistema de archivos y, si la política es pública, bloquea la solicitud. Para permitir el acceso de AWS Transfer Family al sistema de archivos, actualice la política del sistema de archivos para que no se considere pública.

nota

El uso de Transfer Family con Amazon EFS está desactivado de forma predeterminada para las Cuenta de AWS que tienen sistemas de archivos EFS con políticas que permitan el acceso público y que se crearan antes del 6 de enero de 2021. Para habilitar el uso de Transfer Family para acceder a su sistema de archivos, póngase en contacto con AWS Support.

Qué significa "pública"

Al evaluar si un sistema de archivos permite el acceso público, Amazon EFS asume que la política del sistema de archivos es pública. A continuación, evalúa la política del sistema de archivos para determinar si califica como no pública. Para que se considere no pública, una política de sistemas de archivos debe conceder acceso solo a valores fijos (valores que no contienen un comodín) de uno o más de los siguientes:

  • Un conjunto de Classless Inter-Domain Routings (CIDR), mediante aws:SourceIp. Para obtener más información sobre CIDR, consulte RFC 4632 en la página web de RFC EditoR.

  • Una entidad principal de AWS, un usuario, un rol o una entidad principal de servicio (por ejemplo, aws:PrincipalOrgID)

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

En virtud de estas reglas, la siguiente política de ejemplo se considera pública.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

Puede hacer que esta política del sistema de archivos no sea pública mediante la clave de condición de EFS elasticfilesystem:AccessedViaMountTarget establecida como “true”. Se puede utilizar elasticfilesystem:AccessedViaMountTarget para permitir las acciones de EFS especificadas a los clientes que accedan al sistema de archivos de EFS mediante un destino de montaje del sistema de archivos. La siguiente política no pública utiliza la clave de condición elasticfilesystem:AccessedViaMountTarget establecida como “true”.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

Para obtener más información sobre las claves de condición de Amazon EFS, consulte Claves de condición de EFS para clientes. Para obtener más información sobre la creación de políticas de sistemas de archivos, consulte Creación de políticas de sistema de archivos.