Aplicación de un directorio raíz con un punto de acceso - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aplicación de un directorio raíz con un punto de acceso

Puede utilizar un punto de acceso para anular el directorio raíz de un sistema de archivos. Cuando se aplica un directorio raíz, el NFS cliente que usa el punto de acceso usa el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos.

Para habilitar esta entidad, defina el atributo Path del punto de acceso al crear un punto de acceso. El atributo Path es la ruta completa del directorio raíz del sistema de archivos para todas las solicitudes del sistema de archivos realizadas a través de este punto de acceso. La ruta de acceso completa no puede superar los 100 caracteres de longitud. Puede incluir hasta cuatro subdirectorios.

Al especificar un directorio raíz en un punto de acceso, se convierte en el directorio raíz del sistema de archivos del NFS cliente que monta el punto de acceso. Por ejemplo, supongamos que el directorio raíz de su punto de acceso sea /data. En este caso, el montaje fs-12345678:/ utilizando el punto de acceso tiene el mismo efecto que el montaje fs-12345678:/data sin usar el punto de acceso.

Al especificar un directorio raíz en el punto de acceso, asegúrese de que los permisos de directorio estén configurados para permitir que el usuario del punto de acceso monte correctamente el sistema de archivos. Concretamente, asegúrese de que el bit de ejecución esté configurado para el grupo o usuario del punto de acceso, o para todos los usuarios. Por ejemplo, si permiso del directorio tiene el valor 755, el propietario del directorio puede enumerar, crear y montar archivos, y el resto de los usuarios pueden enumerar y montar archivos.

Creación del directorio raíz para un punto de acceso

Si no existe una ruta de directorio raíz para un punto de acceso en el sistema de archivos, Amazon crea EFS automáticamente ese directorio raíz con la propiedad y los permisos especificados. Amazon no EFS creará el directorio raíz si no especificas la propiedad y los permisos del directorio en el momento de la creación. Este enfoque permite aprovisionar el acceso al sistema de archivos para un usuario o aplicación específicos sin montar el sistema de archivos desde un host Linux. Para crear un directorio raíz, puede configurar la propiedad y el permiso del directorio raíz utilizando los siguientes atributos al crear un punto de acceso:

  • OwnerUid— El ID POSIX de usuario numérico que se utilizará como propietario del directorio raíz.

  • OwnerGiD— El ID numérico del POSIX grupo que se utilizará como grupo propietario del directorio raíz.

  • Permisos: el modo Unix del directorio. Una configuración común es 755. Asegúrese de que el bit de ejecución esté configurado para el usuario del punto de acceso para que pueda montar archivos. Esta configuración da al propietario del directorio permiso para introducir, enumerar y escribir nuevos archivos en el directorio. Da permiso a todos los demás usuarios para introducir y enumerar archivos. Para obtener más información sobre cómo trabajar con los modos de archivo y directorio Unix, consulte Usuarios, grupos y permisos a nivel de Network File System (NFS).

Amazon EFS crea un directorio raíz de puntos de acceso solo si se OwnUid especifican los permisosGID, Own y Own para el directorio. Si no proporciona esta información, Amazon EFS no crea el directorio raíz. Si el directorio raíz no existe, los intentos de montaje utilizando el punto de acceso fallarán.

Al montar un sistema de archivos con un punto de acceso, se crea el directorio raíz del punto de acceso si el directorio aún no existe, siempre que el directorio raíz OwnerUid y los permisos se hayan especificado al crear el punto de acceso. Si el directorio raíz del punto de acceso ya existe antes de la hora de montaje, el punto de acceso no sobrescribirá los permisos existentes. Si elimina el directorio raíz, lo EFS vuelve a crear la próxima vez que se monte el sistema de archivos mediante el punto de acceso.

nota

Si no especificas la propiedad y los permisos del directorio raíz de un punto de acceso, Amazon no EFS creará el directorio raíz. Todos los intentos de montaje del punto de acceso fallarán.

Modelo de seguridad para directorios raíz de punto de acceso

Cuando se produce una anulación del directorio raíz, Amazon EFS se comporta como un NFS servidor Linux con la no_subtree_check opción habilitada.

En el NFS protocolo, los servidores generan identificadores de archivos que los clientes utilizan como referencias únicas al acceder a los archivos. EFSgenera de forma segura identificadores de archivos impredecibles y específicos de un sistema de EFS archivos. Cuando se reemplaza el directorio raíz, EFS no revela los identificadores de los archivos que se encuentran fuera del directorio raíz especificado. Sin embargo, en algunos casos, un usuario puede obtener un identificador de archivo para un archivo fuera de su punto de acceso mediante un out-of-band mecanismo. Por ejemplo, podrían hacerlo si tienen acceso a un segundo punto de acceso. Si lo hacen, pueden llevar a cabo operaciones de lectura y escritura en el archivo.

Los permisos de acceso y propiedad de archivos siempre se aplican, para acceder a archivos dentro y fuera del directorio raíz del punto de acceso de un usuario.