Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Usuarios, grupos y permisos a nivel de Network File System (NFS)
Tras crear un sistema de archivos, de forma predeterminada, solo el usuario root (UID0) tiene permisos de lectura, escritura y ejecución. Para que otros usuarios modifiquen el sistema de archivos, el usuario raíz debe concederles acceso de forma explícita. Puede utilizar puntos de acceso para automatizar la creación de directorios desde los que un usuario que no sea raíz puede escribir. Para obtener más información, consulte Trabajar con puntos de EFS acceso de Amazon.
Los objetos del sistema de EFS archivos de Amazon tienen asociado un modo de estilo Unix. Este valor de modo define los permisos para realizar acciones en ese objeto. Los usuarios familiarizados con los sistemas tipo Unix pueden entender fácilmente cómo EFS se comporta Amazon con respecto a estos permisos.
Además, en los sistemas tipo Unix, los usuarios y los grupos se asignan a identificadores numéricos, que Amazon EFS utiliza para representar la propiedad de los archivos. EFSEn Amazon, los objetos del sistema de archivos (es decir, archivos, directorios, etc.) pertenecen a un único propietario y a un único grupo. Amazon EFS utiliza el número asignado IDs para comprobar los permisos cuando un usuario intenta acceder a un objeto del sistema de archivos.
nota
El NFS protocolo admite un máximo de 16 grupos IDs (GIDs) por usuario y cualquier grupo adicional GIDs se trunca a partir NFS de las solicitudes de los clientes. Para obtener más información, consulte Acceso denegado a los archivos permitidos en el sistema de NFS archivos.
A continuación, encontrarás ejemplos de permisos y un debate sobre las consideraciones de NFS permisos para AmazonEFS.
Temas
- Permisos de archivos y directorios
- Ejemplos de casos de uso y permisos del sistema de EFS archivos de Amazon
- Permisos de ID de usuario y grupo para los archivos y directorios de un sistema de archivos
- Sin agrupación de raíz
- Almacenamiento en caché de permisos
- Cambio de propiedad de objeto del sistema de archivos
- EFSpuntos de acceso
Ejemplos de casos de uso y permisos del sistema de EFS archivos de Amazon
Tras crear un sistema de EFS archivos de Amazon y montar los destinos para el sistema de archivos en el suyoVPC, puede montar el sistema de archivos remoto de forma local en su EC2 instancia de Amazon. El comando mount
puede montar cualquier directorio en el sistema de archivos. No obstante, la primera vez que cree el sistema de archivos, solo hay un directorio raíz en /
. El usuario raíz y el grupo raíz son propietarios del directorio montado.
El siguiente mount
comando monta el directorio raíz de un sistema de EFS archivos de Amazon, identificado por el DNS nombre del sistema de archivos, en el directorio /efs-mount-point
local.
sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport
file-system-id
.efs.aws-region.amazonaws.com:/ efs-mount-point
El modo de permisos inicial permite:
-
Permisos
read-write-execute
para el propietario raíz -
Permisos
read-execute
para el grupo raíz -
Permisos
read-execute
para otras personas
Solo el usuario raíz puede modificar este directorio. El usuario raíz también puede conceder a otros usuarios permisos para escribir en este directorio, por ejemplo:
-
Crear subdirectorios que se pueden escribir por usuario. Para obtener step-by-step instrucciones, consulteTutorial: Creación de subdirectorios grabables por usuario.
-
Permite a los usuarios escribir en la raíz del sistema de EFS archivos de Amazon. Un usuario con privilegios raíz puede conceder a otros usuarios acceso al sistema de archivos.
-
Para cambiar la propiedad del sistema de EFS archivos de Amazon a un usuario y grupo que no sean root, usa lo siguiente:
$ sudo chown
user
:group
/EFSroot
-
Para cambiar los permisos del sistema de archivos a otros más permisivos, utilice lo siguiente:
$ sudo chmod 777 /
EFSroot
Este comando otorga read-write-execute privilegios a todos los usuarios en todas las EC2 instancias que tienen el sistema de archivos montado.
-
Permisos de ID de usuario y grupo para los archivos y directorios de un sistema de archivos
Los archivos y directorios de un sistema de EFS archivos de Amazon admiten permisos de lectura, escritura y ejecución estándar de estilo Unix basados en el ID de usuario y el grupo. IDs Cuando un NFS cliente monta un sistema de EFS archivos sin utilizar un punto de acceso, se confía en el ID de usuario y el ID de grupo proporcionados por el cliente. Puede usar los puntos de EFS acceso para anular el ID de usuario y el grupo IDs utilizados por el NFS cliente. Cuando los usuarios intentan acceder a archivos y directorios, Amazon EFS comprueba su usuario IDs y su grupo IDs para comprobar que cada usuario tiene permiso para acceder a los objetos. Amazon EFS también las utiliza IDs para indicar el propietario y el propietario del grupo de los nuevos archivos y directorios que cree el usuario. Amazon EFS no examina los nombres de usuarios o grupos, solo utiliza los identificadores numéricos.
nota
Cuando creas un usuario en una EC2 instancia, puedes asignar cualquier ID de usuario numérico (UID) e ID de grupo (GID) al usuario. El usuario numérico IDs se establece en el /etc/passwd
archivo en los sistemas Linux. El grupo numérico IDs está en el /etc/group
archivo. Estos archivos definen las asignaciones entre los nombres y. IDs Fuera de la EC2 instancia, Amazon EFS no realiza ninguna autenticación de estosIDs, incluido el ID raíz 0.
Si un usuario accede a un sistema de EFS archivos de Amazon desde dos EC2 instancias diferentes, en función de si la del UID usuario es la misma o diferente en esas instancias, observará un comportamiento diferente, de la siguiente manera:
-
Si el usuario IDs es el mismo en ambas EC2 instancias, Amazon EFS considera que indican el mismo usuario, independientemente de la EC2 instancia utilizada. La experiencia del usuario al acceder al sistema de archivos es la misma en ambas EC2 instancias.
-
Si el usuario IDs no es el mismo en ambos EC2 casos, Amazon EFS considera que los usuarios son usuarios diferentes. La experiencia del usuario no es la misma al acceder al sistema de EFS archivos de Amazon desde las dos EC2 instancias diferentes.
-
Si dos usuarios diferentes en distintas EC2 instancias comparten un ID, Amazon EFS considera que son el mismo usuario.
Podrías considerar la posibilidad de gestionar las asignaciones de ID de usuario en todas las EC2 instancias de forma coherente. Los usuarios pueden comprobar su ID numérico utilizando el comando id
.
$ id uid=502(joe) gid=502(joe) groups=502(joe)
Desactivar el mapeador de ID
Las NFS utilidades del sistema operativo incluyen un daemon denominado ID Mapper que gestiona el mapeo entre los nombres de usuario y. IDs En Amazon Linux, el demonio se denomina rpc.idmapd
y en Ubuntu se denomina idmapd
. Traduce el usuario y el grupo IDs en nombres y viceversa. Sin embargo, EFS Amazon solo trabaja con númerosIDs. Le recomendamos que desactive este proceso en sus EC2 instancias. En Amazon Linux, el mapeador de ID suele estar deshabilitado: si lo está, no lo habilite. Para desactivar el mapeador de ID, utilice los comandos que se muestran a continuación.
$ service rpcidmapd status $ sudo service rpcidmapd stop
Sin agrupación de raíz
De forma predeterminada, el aplastamiento de las raíces está deshabilitado en los sistemas de EFS archivos. Amazon EFS se comporta como un NFS servidor Linux conno_root_squash
. Si el ID de un usuario o grupo es 0, Amazon EFS trata a ese usuario como el root
usuario y omite las comprobaciones de permisos (lo que permite el acceso y la modificación de todos los objetos del sistema de archivos). El bloqueo de root se puede activar en la conexión de un cliente cuando la política de identidad o recursos AWS Identity and Access Management (AWS IAM) no permite el acceso a la ClientRootAccess
acción. Cuando el bloqueo de root está activado, el usuario root se convierte en un usuario con permisos limitados en el NFS servidor.
Para obtener más información, consulte Se utiliza IAM para controlar el acceso a los datos del sistema de archivos.
Habilite el aplastamiento de las raíces mediante la IAM autorización de los clientes NFS
Puede configurar Amazon EFS para impedir el acceso root a su sistema de EFS archivos de Amazon para todos los AWS principales, excepto para una única estación de trabajo de administración. Para ello, configure la autorización AWS Identity and Access Management (IAM) para los clientes de Network File System (NFS).
Para ello, es necesario configurar dos políticas de IAM permisos, de la siguiente manera:
-
Cree una política de sistema de EFS archivos que permita de forma explícita el acceso de lectura y escritura al sistema de archivos y que deniegue implícitamente el acceso a la raíz.
-
Asigne una IAM identidad a la estación EC2 de trabajo de administración de Amazon que requiera acceso root al sistema de archivos mediante un perfil de EC2 instancia de Amazon. Para obtener más información sobre los perfiles de EC2 instancia de Amazon, consulte Uso de perfiles de instancia en la Guía del AWS Identity and Access Management usuario.
-
Asigne la política
AmazonElasticFileSystemClientFullAccess
AWS administrada a la IAM función de la estación de trabajo de administración. Para obtener más información sobre las políticas AWS administradas paraEFS, consulteGestión de identidades y accesos para Amazon EFS.
Para habilitar la eliminación de raíces mediante la IAM autorización de NFS los clientes, utilice los siguientes procedimientos.
Para evitar el acceso raíz al sistema de archivos
Abra la consola de Amazon Elastic File System en https://console.aws.amazon.com/efs/
. Elija Sistemas de archivos.
Elija el sistema de archivos en el que desee habilitar la compresión de root.
-
En la página de detalles del sistema de archivos, elija Política del sistema de archivos y, a continuación, elija Editar. Aparece la página File system policy (Política del sistema de archivos).
-
Seleccione Impedir el acceso a la raíz de forma predeterminada* en Opciones de política. El JSON objeto de política aparece en el editor de políticas.
Elija Save (Guardar) para guardar la política del sistema de archivos.
Los clientes que no son anónimos pueden obtener acceso raíz al sistema de archivos a través de una política basada en la identidad. Al asociar la política AmazonElasticFileSystemClientFullAccess
gestionada a la función de la estación de trabajo, IAM concede acceso root a la estación de trabajo en función de su política de identidad.
Para habilitar el acceso raíz desde la estación de trabajo de administración
Abra la IAM consola en. https://console.aws.amazon.com/iam/
Crea un rol para Amazon EC2 llamado
EFS-client-root-access
. IAMcrea un perfil de instancia con el mismo nombre que el EC2 rol que creaste.Asigna la política AWS gestionada
AmazonElasticFileSystemClientFullAccess
al EC2 rol que has creado. El contenido de esta política se muestra a continuación.{ "Version”: "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientRootAccess", "elasticfilesystem:ClientWrite", "elasticfilesystem:DescribeMountTargets" ], "Resource": "*" } ] }
Adjunte el perfil de la instancia a la EC2 instancia que está utilizando como estación de trabajo de administración, tal y como se describe a continuación. Para obtener más información, consulta Cómo adjuntar un IAM rol a una instancia en la Guía del EC2 usuario de Amazon para instancias de Linux.
Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/
. En el panel de navegación, seleccione Instances (Instancia[s]).
Seleccione la instancia. En Acciones, selecciona Configuración de instancia y, a continuación, selecciona Adjuntar o reemplazar rol IAM.
Elija el IAM rol que creó en el primer paso y elija Aplicar.
EFS-client-root-access
Instale el asistente de EFS montaje en la estación de trabajo de administración. Para obtener más información sobre el asistente de EFS montaje y el amazon-efs-utils paquete, consulte. Instalación del EFS cliente de Amazon
Monte el sistema de EFS archivos en la estación de trabajo de administración mediante el siguiente comando con la opción de
iam
montaje.$
sudo mount -t efs -o tls,iamfile-system-id
:/efs-mount-point
Puedes configurar la EC2 instancia de Amazon para que monte automáticamente el sistema de archivos con IAM autorización. Para obtener más información sobre cómo montar un sistema de EFS archivos con IAM autorización, consulteMontaje con autorización IAM.
Almacenamiento en caché de permisos
Amazon almacena en EFS caché los permisos de los archivos durante un breve período de tiempo. Como resultado, es posible que haya un breve periodo en el que un usuario cuyo acceso se revocó recientemente, pueda seguir accediendo a ese objeto.
Cambio de propiedad de objeto del sistema de archivos
Amazon EFS aplica el POSIX chown_restricted
atributo. Esto significa que solo el usuario raíz puede cambiar el propietario de un objeto del sistema de archivos. El usuario raíz o propietario puede cambiar el grupo propietario de un objeto del sistema de archivos. Sin embargo, a menos que el usuario sea raíz, el grupo solo se puede cambiar a uno del que sea miembro el usuario propietario.
EFSpuntos de acceso
Un punto de acceso aplica una ruta de usuario, grupo y sistema de archivos del sistema operativo a cualquier solicitud del sistema de archivos realizada mediante el punto de acceso. El usuario y el grupo del sistema operativo del punto de acceso anulan cualquier información de identidad proporcionada por el NFS cliente. La ruta del sistema de archivos se expone al cliente como directorio raíz del punto de acceso. Este enfoque garantiza que cada aplicación siempre utilice la identidad correcta del sistema operativo y el directorio correcto al acceder a conjuntos de datos basados en archivos compartidos. Las aplicaciones que utilizan el punto de acceso solo pueden acceder a los datos en su propio directorio e inferiores. Para obtener más información acerca de los puntos de acceso, consulte Trabajar con puntos de EFS acceso de Amazon.