Ejemplos de políticas basadas en recursos para Amazon EFSAmazon EFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas basadas en recursos para Amazon EFSAmazon EFS

En esta sección, puedes encontrar ejemplos de políticas del sistema de archivos que otorgan o deniegan permisos para diversas EFS acciones de Amazon. Las políticas del sistema de EFS archivos de Amazon tienen un límite de 20 000 caracteres. Para obtener información sobre los elementos de una política basada en recursos, consulte Políticas basadas en recursos en Amazon EFS.

importante

Si concedes permiso a un IAM usuario o rol individual en una política del sistema de archivos, no elimines ni vuelvas a crear ese usuario o rol mientras la política esté vigente en el sistema de archivos. Si esto sucede, ese usuario o rol se bloquea efectivamente en el sistema de archivos y no podrá acceder a él. Para obtener más información, consulte Especificar un director en la Guía del IAM usuario.

Para obtener información acerca de cómo crear una política de sistema de archivos, consulte Creación de políticas de sistema de archivos.

Ejemplo: conceder acceso de lectura y escritura a un AWS rol específico

En este ejemplo, la política del sistema de EFS archivos tiene las siguientes características:

  • El efecto es Allow.

  • La entidad principal se establece en Testing_Role en la Cuenta de AWS.

  • La acción se establece en ClientMount (lectura) y ClientWrite.

  • La condición para conceder permisos se establece en AccessedViaMountTarget.

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }

Ejemplo: conceder acceso de solo lectura

La siguiente política del sistema de archivos solo concede ClientMount permisos para el rol o los EfsReadOnly IAM de solo lectura.

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

Para obtener información sobre cómo establecer políticas de sistema de archivos adicionales, incluida la denegación del acceso root a todas las entidades IAM principales, excepto a una estación de trabajo de administración específica, consulte. Habilite el aplastamiento de las raíces mediante la IAM autorización de los clientes NFS

Ejemplo: conceder acceso a un EFS punto de acceso

Se utiliza una política de EFS acceso para proporcionar al NFS cliente una visión específica de la aplicación de los conjuntos de datos compartidos basados en archivos de un sistema de archivos. EFS Conceder permisos de punto de acceso en el sistema de archivos mediante una política de sistema de archivos.

En este ejemplo de política de archivos, se utiliza un elemento de condición para conceder un punto de acceso específico que se identifica por su acceso ARN total al sistema de archivos.

Para obtener más información sobre el uso de puntos de EFS acceso, consulteTrabajar con puntos de EFS acceso de Amazon.

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }