Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur les ressources pour Amazon EFSAmazon EFS
Dans cette section, vous trouverez des exemples de politiques de système de fichiers qui accordent ou refusent des autorisations pour diverses EFS actions Amazon. Les politiques EFS du système de fichiers Amazon sont limitées à 20 000 caractères. Pour plus d’informations sur les éléments d’une stratégie basée sur les ressources, veuillez consulter Politiques basées sur les ressources au sein d'Amazon EFS.
Important
Si vous accordez une autorisation à un IAM utilisateur ou à un rôle individuel dans une politique de système de fichiers, ne supprimez ni ne recréez cet utilisateur ou ce rôle tant que la politique est en vigueur sur le système de fichiers. Dans ce cas, l’utilisateur ou le rôle ne pourrait plus accéder au système de fichiers. Pour plus d'informations, consultez la section Spécification d'un principal dans le guide de IAM l'utilisateur.
Pour plus d’informations sur la création d’une stratégie de système de fichiers, consultez Création de politiques de système de fichiers.
Rubriques
Exemple : accorder un accès en lecture et en écriture à un AWS rôle spécifique
Dans cet exemple, la politique du système de EFS fichiers présente les caractéristiques suivantes :
-
L’effet est
Allow. -
Le principal est défini sur le Testing_Role dans le Compte AWS.
-
L’action est définie sur
ClientMount(lecture) etClientWrite. -
La condition d’octroi des autorisations est définie sur
AccessedViaMountTarget.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
Exemple : Accorder l’accès en lecture seule
La politique de système de fichiers suivante n'accorde que des autorisationsClientMount, ou des autorisations en lecture seule, au EfsReadOnly IAM rôle.
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
Pour savoir comment définir des politiques de système de fichiers supplémentaires, notamment en refusant l'accès root à tous les IAM principaux, à l'exception d'un poste de gestion spécifique, voirActiver l'écrasement du root en utilisant l'IAMautorisation pour les clients NFS.
Exemple : accorder l'accès à un point EFS d'accès
Vous utilisez une politique d'EFSaccès pour fournir à un NFS client une vue spécifique à l'application des ensembles de données basés sur des fichiers partagés sur un système de fichiers. EFS Vous accordez les autorisations de point d’accès sur le système de fichiers à l’aide d’une stratégie de système de fichiers.
Cet exemple de politique de fichiers utilise un élément de condition pour accorder un point d'accès spécifique identifié par son accès ARN complet au système de fichiers.
Pour plus d'informations sur l'utilisation des points EFS d'accès, consultezUtilisation des points EFS d'accès Amazon.
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }
