Blocage de l'accès public aux systèmes de EFS fichiers - Amazon Elastic File System
Blocage de l’accès public avec AWS Transfer FamilyLa signification du mot « public »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Blocage de l'accès public aux systèmes de EFS fichiers

La fonctionnalité de EFS blocage de l'accès public d'Amazon fournit des paramètres qui vous aident à gérer l'accès public aux systèmes de EFS fichiers. Par défaut, les nouveaux systèmes de EFS fichiers n'autorisent pas l'accès public. En revanche, vous pouvez modifier les stratégies du système de fichiers pour autoriser l’accès public.

Important

L'activation du blocage de l'accès public permet de protéger vos ressources en empêchant l'accès public d'être accordé par le biais des politiques de ressources directement associées au système de fichiers. Outre l'activation du blocage de l'accès public, examinez attentivement les politiques suivantes pour vous assurer qu'elles n'accordent pas d'accès public :

  • Politiques basées sur l'identité associées aux AWS principaux associés (par exemple, les rôles) IAM

  • Politiques basées sur les ressources associées aux AWS ressources associées (par exemple,AWS Key Management Service (KMS) clés)

Blocage de l’accès public avec AWS Transfer Family

Lorsque vous utilisez Amazon EFS avec AWS Transfer Family, les demandes d'accès au système de fichiers reçues d'un serveur Transfer Family appartenant à un compte différent de celui du système de fichiers sont bloquées si le système de fichiers autorise l'accès public. Amazon EFS évalue les IAM politiques du système de fichiers et, si la politique est publique, bloque la demande. Pour autoriser AWS Transfer Family l'accès à votre système de fichiers, mettez à jour la politique de votre système de fichiers afin qu'elle ne soit pas considérée comme publique.

Note

L'utilisation de Transfer Family with Amazon EFS est désactivée par défaut pour Compte AWS les systèmes de EFS fichiers dotés de politiques autorisant l'accès public créées avant le 6 janvier 2021. Pour activer l'utilisation de Transfer Family pour accéder à votre système de fichiers, contactez le AWS Support.

La signification du mot « public »

Lorsqu'il s'agit d'évaluer si un système de fichiers autorise l'accès public, Amazon EFS part du principe que la politique du système de fichiers est publique. Puis, il évalue la stratégie du système de fichiers pour déterminer si elle est qualifiée comme non publique. Pour être considérée comme non publique, une stratégie de système de fichiers doit uniquement accorder l’accès aux valeurs fixes (valeurs ne contenant aucun caractère générique) d’un ou de plusieurs des éléments suivants :

  • Un ensemble de routages interdomaines sans classe (CIDRs), utilisant. aws:SourceIp Pour plus d'informationsCIDR, voir RFC4632 sur le site Web de l'RFCéditeur.

  • Un AWS principal, un utilisateur, un rôle ou un principal de service (par exemple,aws:PrincipalOrgID)

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

Conformément à ces règles, l’exemple de stratégie suivant est considéré comme public.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

Vous pouvez rendre cette politique de système de fichiers non publique en utilisant la clé de EFS condition elasticfilesystem:AccessedViaMountTarget définie sur true. Vous pouvez l'utiliser elasticfilesystem:AccessedViaMountTarget pour autoriser les clients à accéder au système de fichiers EFS à l'aide d'une cible de montage du système de EFS fichiers à l'aide d'une cible de montage du système de fichiers. La stratégie non publique suivante utilise la clé de condition elasticfilesystem:AccessedViaMountTarget définie sur true.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

Pour plus d'informations sur les clés de EFS condition Amazon, consultezEFSclés de condition pour les clients. Pour plus d’informations sur la création de stratégies de système de fichiers, consultez Création de politiques de système de fichiers.