Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS) - Amazon Elastic File System
Exemples de cas d'utilisation et d'autorisations du système de EFS fichiers AmazonAutorisations d'identification d'utilisateur et de groupe pour les fichiers et les répertoires d'un système de fichiersAucun écrasement racineMise en cache des autorisationsModification de la propriété d’un objet du système de fichiersEFSpoints d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS)

Après avoir créé un système de fichiers, par défaut, seul l'utilisateur root (UID0) dispose des autorisations de lecture, d'écriture et d'exécution. Pour que d’autres utilisateurs puissent modifier le système de fichiers, l’utilisateur racine doit leur accorder explicitement l’accès. Vous pouvez utiliser des points d’accès pour automatiser la création de répertoires accessibles en écriture à partir d’un utilisateur non racine. Pour de plus amples informations, veuillez consulter Utilisation des points EFS d'accès Amazon.

Un mode de style Unix est associé aux objets du système de EFS fichiers Amazon. La valeur de ce mode définit les autorisations permettant d’effectuer des actions au niveau de cet objet. Les utilisateurs habitués aux systèmes de type Unix peuvent facilement comprendre le EFS comportement d'Amazon en ce qui concerne ces autorisations.

En outre, sur les systèmes de type Unix, les utilisateurs et les groupes sont mappés à des identifiants numériques, qu'EFSAmazon utilise pour représenter la propriété des fichiers. Pour AmazonEFS, les objets du système de fichiers (c'est-à-dire les fichiers, les répertoires, etc.) appartiennent à un seul propriétaire et à un seul groupe. Amazon EFS utilise le chiffre mappé IDs pour vérifier les autorisations lorsqu'un utilisateur tente d'accéder à un objet du système de fichiers.

Note

Le NFS protocole prend en charge un maximum de 16 groupes IDs (GIDs) par utilisateur et tous les groupes supplémentaires GIDs sont tronqués en fonction des demandes des NFS clients. Pour de plus amples informations, veuillez consulter Accès refusé aux fichiers autorisés sur le système de NFS fichiers.

Vous trouverez ci-dessous des exemples d'autorisations ainsi qu'une discussion sur NFS les considérations relatives aux autorisations pour AmazonEFS.

Rubriques

Exemples de cas d'utilisation et d'autorisations du système de EFS fichiers Amazon

Après avoir créé un système de EFS fichiers Amazon et monté des cibles pour le système de fichiers qu'VPCil contient, vous pouvez monter le système de fichiers distant localement sur votre EC2 instance Amazon. La commande mount permet de monter un répertoire sur le système de fichiers. Toutefois, lorsque vous créez le système de fichiers pour la première fois, un seul répertoire racine se trouve à l’emplacement /. L’utilisateur racine et le groupe racine sont propriétaires du répertoire monté.

La mount commande suivante monte le répertoire racine d'un système de EFS fichiers Amazon, identifié par le DNS nom du système de fichiers, dans le répertoire /efs-mount-point local.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

Le mode d’autorisations initial autorise :

  • des autorisations read-write-execute sur le propriétaire racine

  • des autorisations read-execute sur le groupe racine

  • des autorisations read-execute sur les autres

Seul l’utilisateur racine peut modifier ce répertoire. L’utilisateur racine peut aussi accorder des autorisations à d’autres utilisateurs pour l’écriture dans ce répertoire, par exemple :

  • Créer des sous-répertoires par utilisateur accessibles en écriture. Pour step-by-step obtenir des instructions, voirTutoriel : Création de sous-répertoires accessibles en écriture par utilisateur.

  • Autorisez les utilisateurs à écrire à la racine du système de EFS fichiers Amazon. Un utilisateur avec des privilèges racine peut accorder à d’autres utilisateurs l’accès au système de fichiers.

    • Pour transférer la propriété du système de EFS fichiers Amazon à un utilisateur et à un groupe non root, utilisez ce qui suit :

      $ sudo chown user:group /EFSroot

    • Pour remplacer les autorisations du système de fichiers par des autorisations moins restrictives, utilisez la commande suivante :

      $ sudo chmod 777 /EFSroot

      Cette commande accorde des read-write-execute privilèges à tous les utilisateurs sur toutes les EC2 instances sur lesquelles le système de fichiers est monté.

Autorisations d'identification d'utilisateur et de groupe pour les fichiers et les répertoires d'un système de fichiers

Les fichiers et les répertoires d'un système de EFS fichiers Amazon prennent en charge les autorisations de lecture, d'écriture et d'exécution standard de style UNIX en fonction de l'ID utilisateur et du groupe. IDs Lorsqu'un NFS client monte un système de EFS fichiers sans utiliser de point d'accès, l'ID utilisateur et l'ID de groupe fournis par le client sont fiables. Vous pouvez utiliser des points EFS d'accès pour remplacer l'ID utilisateur et le groupe IDs utilisés par le NFS client. Lorsque des utilisateurs tentent d'accéder à des fichiers et à des répertoires, Amazon EFS contrôle leur utilisateur IDs et leur groupe IDs pour vérifier que chaque utilisateur est autorisé à accéder aux objets. Amazon les utilise EFS également IDs pour indiquer le propriétaire et le propriétaire du groupe pour les nouveaux fichiers et répertoires créés par l'utilisateur. Amazon EFS n'examine pas les noms des utilisateurs ou des groupes ; il utilise uniquement les identifiants numériques.

Note

Lorsque vous créez un utilisateur sur une EC2 instance, vous pouvez attribuer un ID utilisateur numérique (UID) ou un ID de groupe (GID) à l'utilisateur. Les utilisateurs numériques IDs sont définis dans le /etc/passwd fichier sur les systèmes Linux. Le groupe numérique IDs se trouve dans le /etc/group fichier. Ces fichiers définissent les mappages entre les noms etIDs. En dehors de l'EC2instance, Amazon EFS n'effectue aucune authentification pour ces derniersIDs, y compris l'ID racine de 0.

Si un utilisateur accède à un système de EFS fichiers Amazon à partir de deux EC2 instances différentes, vous UID constaterez un comportement différent selon que l'utilisateur est identique ou différent sur ces instances, comme suit :

  • Si les utilisateurs IDs sont identiques sur les deux EC2 instances, Amazon EFS considère qu'ils indiquent le même utilisateur, quelle que soit l'EC2instance utilisée. L'expérience utilisateur lors de l'accès au système de fichiers est la même dans les deux EC2 instances.

  • Si l'utilisateur IDs n'est pas le même sur les deux EC2 instances, Amazon EFS considère qu'il s'agit d'utilisateurs différents. L'expérience utilisateur n'est pas la même lorsqu'il accède au système de EFS fichiers Amazon depuis les deux EC2 instances différentes.

  • Si deux utilisateurs différents sur des EC2 instances différentes partagent un même identifiant, Amazon EFS considère qu'il s'agit du même utilisateur.

Vous pouvez envisager de gérer les mappages d'ID utilisateur de manière cohérente entre EC2 les instances. Les utilisateurs peuvent vérifier leur ID numérique à l’aide de la commande id .

$ id 

uid=502(joe) gid=502(joe) groups=502(joe)

Désactivation de l’outil de mappage d’ID

Les NFS utilitaires du système d'exploitation incluent un démon appelé ID Mapper qui gère le mappage entre les noms d'utilisateur et. IDs Dans Amazon Linux, ce démon est appelé rpc.idmapd et sur Ubuntu il est appelé idmapd. Il traduit l'utilisateur et IDs le groupe en noms, et vice versa. Cependant, Amazon ne EFS traite que des données numériques. IDs Nous vous recommandons de désactiver ce processus sur vos EC2 instances. Sur Amazon Linux, l’outil de mappage d’ID est généralement désactivé. Si tel est le cas, ne l’activez pas. Pour désactiver l’outil de mappage d’ID, utilisez la commande illustrée ci-dessous.

$  service rpcidmapd status
$  sudo service rpcidmapd stop

Aucun écrasement racine

Par défaut, l'écrasement du root est désactivé sur les systèmes de EFS fichiers. Amazon EFS se comporte comme un NFS serveur Linux avecno_root_squash. Si un identifiant d'utilisateur ou de groupe est égal à 0, Amazon EFS traite cet utilisateur comme un root utilisateur et contourne les contrôles d'autorisation (autorisant l'accès et la modification de tous les objets du système de fichiers). L'écrasement root peut être activé sur une connexion client lorsque la politique d'identité ou de ressource AWS Identity and Access Management (AWS IAM) n'autorise pas l'accès à l'ClientRootAccessaction. Lorsque l'écrasement du superutilisateur est activé, l'utilisateur root est converti en utilisateur disposant d'autorisations limitées sur le NFS serveur.

Pour de plus amples informations, veuillez consulter Utilisation IAM pour contrôler l'accès aux données du système de fichiers.

Activer l'écrasement du root en utilisant l'IAMautorisation pour les clients NFS

Vous pouvez configurer Amazon EFS pour empêcher l'accès root à votre système de EFS fichiers Amazon pour tous les AWS principaux, à l'exception d'un seul poste de gestion. Pour ce faire, configurez l'autorisation AWS Identity and Access Management (IAM) pour les clients Network File System (NFS).

Pour ce faire, vous devez configurer deux politiques IAM d'autorisation, comme suit :

  • Créez une politique de système de EFS fichiers qui autorise explicitement l'accès en lecture et en écriture au système de fichiers et refuse implicitement l'accès root.

  • Attribuez une IAM identité à la station EC2 de gestion Amazon qui nécessite un accès root au système de fichiers à l'aide d'un profil d'EC2instance Amazon. Pour plus d'informations sur les profils d'EC2instance Amazon, consultez la section Utilisation des profils d'instance dans le guide de AWS Identity and Access Management l'utilisateur.

  • Attribuez la politique AmazonElasticFileSystemClientFullAccess AWS gérée au IAM rôle du poste de travail de gestion. Pour plus d'informations sur les politiques AWS gérées pourEFS, consultezGestion des identités et des accès pour Amazon EFS.

Pour activer l'écrasement du root à l'aide de l'IAMautorisation pour NFS les clients, suivez les procédures suivantes.

Pour empêcher l’accès de la racine au système de fichiers

  1. Ouvrez la console Amazon Elastic File System à l'adresse https://console.aws.amazon.com/efs/.

  2. Choisissez File Systems (Systèmes de fichiers).

  3. Choisissez le système de fichiers sur lequel vous souhaitez activer l'écrasement root.

  4. Sur la page de détails du système de fichiers, choisissez Stratégie du système de fichiers, puis Modifier. La page File system policy (Stratégie du système de fichiers) s’affiche.

  5. Choisissez Empêcher l’accès root par défaut* dans les options de politique. L'JSONobjet de stratégie apparaît dans l'éditeur de stratégie.

  6. Choisissez Save (Enregistrer) pour enregistrer la stratégie de système de fichiers.

Les clients non anonymes peuvent obtenir un accès racine au système de fichiers via une stratégie basée sur l’identité. Lorsque vous associez la politique AmazonElasticFileSystemClientFullAccess gérée au rôle du poste de travail, IAM accordez un accès root au poste de travail en fonction de sa politique d'identité.

Pour activer l’accès racine à partir de la station de travail de gestion

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Créez un rôle pour Amazon EC2 appeléEFS-client-root-access. IAMcrée un profil d'instance portant le même nom que le EC2 rôle que vous avez créé.

  3. Assignez la politique AWS gérée AmazonElasticFileSystemClientFullAccess au EC2 rôle que vous avez créé. Le contenu de cette stratégie est présenté ci-dessous.

    {
    "Version”: "2012-10-17",
    "Statement": [
     {
         "Effect": "Allow",
         "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientRootAccess",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:DescribeMountTargets"
         ],
         "Resource": "*"
     }
 ]
}

  4. Attachez le profil d'instance à l'EC2instance que vous utilisez comme poste de travail de gestion, comme décrit ci-dessous. Pour plus d'informations, consultez Attacher un IAM rôle à une instance dans le Guide de EC2 l'utilisateur Amazon pour les instances Linux.

    1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

    2. Dans le panneau de navigation, choisissez Instances.

    3. Choisissez l’instance. Pour Actions, choisissez Paramètres de l'instance, puis choisissez Attacher/Remplacer le rôle IAM.

    4. Choisissez le IAM rôle que vous avez créé lors de la première étapeEFS-client-root-access, puis cliquez sur Appliquer.

  5. Installez l'assistant de EFS montage sur le poste de travail de gestion. Pour plus d'informations sur l'assistant de EFS montage et le amazon-efs-utils package, consultezInstallation du EFS client Amazon.

  6. Montez le système de EFS fichiers sur le poste de travail de gestion à l'aide de la commande suivante avec l'option iam mount.

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Vous pouvez configurer l'EC2instance Amazon pour monter automatiquement le système de fichiers avec IAM autorisation. Pour plus d'informations sur le montage d'un système de EFS fichiers avec IAM autorisation, consultezMontage avec IAM autorisation.

Mise en cache des autorisations

Amazon met en EFS cache les autorisations relatives aux fichiers pendant une courte période. Par conséquent, un utilisateur dont l’accès a été récemment révoqué peut encore accéder à cet objet pendant une brève période.

Modification de la propriété d’un objet du système de fichiers

Amazon EFS applique l'POSIXchown_restrictedattribut. Cela signifie que seul l’utilisateur racine peut modifier le propriétaire d’un objet du système de fichiers. L’utilisateur racine ou propriétaire peut modifier le groupe propriétaire d’un objet du système de fichiers. Cependant, à moins que l’utilisateur soit de type racine, le groupe ne peut être remplacé que par un groupe dont l’utilisateur propriétaire est un membre.

EFSpoints d'accès

Un point d’accès applique un utilisateur, un groupe et un chemin d’accès du système de fichiers pour système d’exploitation à toute demande de système de fichiers effectuée à l’aide du point d’accès. L'utilisateur et le groupe du système d'exploitation du point d'accès remplacent toutes les informations d'identité fournies par le NFS client. Le chemin d’accès du système de fichiers est exposé au client en tant que répertoire racine du point d’accès. Cette approche garantit que chaque application utilise toujours l’identité correcte du système d’exploitation et le bon répertoire lors de l’accès à des ensembles de données basés sur des fichiers partagés. Les applications utilisant le point d’accès peuvent uniquement accéder aux données dans leur propre répertoire et en dessous. Pour plus d’informations sur les points d’accès, consultez Utilisation des points EFS d'accès Amazon.