Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Lustrecourge-racine
Root squash est une fonctionnalité administrative qui ajoute une couche supplémentaire de contrôle d'accès aux fichiers en plus du contrôle d'accès basé sur le réseau actuel et des autorisations de fichiers POSIX. À l'aide de la fonctionnalité root squash, vous pouvez restreindre l'accès au niveau root aux clients qui tentent d'accéder à votre système de fichiers FSx for Lustre en tant que root.
Les autorisations de l'utilisateur root sont requises pour effectuer des actions administratives, telles que la gestion des autorisations sur FSx les systèmes de fichiers Lustre. Cependant, l'accès root fournit un accès illimité aux utilisateurs, leur permettant de contourner les contrôles d'autorisation pour accéder, modifier ou supprimer des objets du système de fichiers. À l'aide de la fonctionnalité root squash, vous pouvez empêcher l'accès non autorisé ou la suppression de données en spécifiant un ID utilisateur (UID) et un ID de groupe (GID) autres que root pour votre système de fichiers. Les utilisateurs root accédant au système de fichiers seront automatiquement convertis vers les utilisateurs moins privilégiés spécifiés user/group avec des autorisations limitées définies par l'administrateur du stockage.
La fonctionnalité Root Squash vous permet également, en option, de fournir une liste de clients qui ne sont pas concernés par le paramètre Root squash. Ces clients peuvent accéder au système de fichiers en tant que root, avec des privilèges illimités.
**Topics**
+ [Comment fonctionne le courge-racine](#root-squash-overview)
+ [Gérer les courges-racines](#manage-root-squash)
## Comment fonctionne le courge-racine
La fonctionnalité root squash fonctionne en remappant l'ID utilisateur (UID) et l'ID de groupe (GID) de l'utilisateur root à un UID et un GID spécifiés par l'administrateur système. Lustre La fonctionnalité root squash vous permet également de spécifier éventuellement un ensemble de clients pour lesquels le remappage UID/GID ne s'applique pas.
Lorsque vous créez un nouveau système de fichiers FSx pour Lustre, root squash est désactivé par défaut. Vous activez Root Squash en configurant un paramètre UID et GID root squash pour votre système de fichiers FSx for Lustre. Les valeurs UID et GID sont des nombres entiers pouvant aller de à : `0` `4294967294`
+ Une valeur différente de zéro pour l'UID et le GID active Root squash. Les valeurs UID et GID peuvent être différentes, mais chacune doit être une valeur différente de zéro.
+ Une valeur de `0` (zéro) pour l'UID et le GID indique root et désactive donc Root squash.
Lors de la création du système de fichiers, vous pouvez utiliser la FSx console Amazon pour fournir les valeurs UID et GID de root squash dans la propriété **Root Squash**, comme indiqué dans. [Pour activer Root Squash lors de la création d'un système de fichiers (console)](#create-root-squash-console) Vous pouvez également utiliser le `RootSquash` paramètre avec l'API AWS CLI or pour fournir les valeurs UID et GID, comme indiqué dans. [Pour activer Root Squash lors de la création d'un système de fichiers (CLI)](#create-root-squash-cli)
Facultativement, vous pouvez également spécifier une liste NIDs de clients auxquels Root squash ne s'applique pas. Un NID client est un identifiant Lustre réseau utilisé pour identifier un client de manière unique. Vous pouvez spécifier le NID sous la forme d'une adresse unique ou d'une plage d'adresses :
+ Une adresse unique est décrite au format Lustre NID standard en spécifiant l'adresse IP du client suivie de l'ID Lustre réseau (par exemple,`10.0.1.6@tcp`).
+ Une plage d'adresses est décrite à l'aide d'un tiret pour séparer la plage (par exemple,`10.0.[2-10].[1-255]@tcp`).
+ Si vous ne spécifiez aucun client NIDs, il n'y aura aucune exception pour Root Squash.
Lorsque vous créez ou mettez à jour votre système de fichiers, vous pouvez utiliser la propriété **Exceptions to Root Squash** dans la FSx console Amazon pour fournir la liste des clients NIDs. Dans l'API AWS CLI or, utilisez le `NoSquashNids` paramètre. Pour plus d'informations, consultez les procédures décrites dans[Gérer les courges-racines](#manage-root-squash).
## Gérer les courges-racines
Lors de la création du système de fichiers, le squash root est désactivé par défaut. Vous pouvez activer Root Squash lors de la création d'un nouveau système de fichiers Amazon FSx for Lustre à partir de la FSx console Amazon ou de l'API. AWS CLI
### Pour activer Root Squash lors de la création d'un système de fichiers (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Suivez la procédure de création d'un nouveau système de fichiers décrite [Étape 1 : Créez votre système de fichiers FSx for Lustre](getting-started.md#getting-started-step1) dans la section *Démarrage*.
1. Ouvrez la section **Root Squash - *facultative***.
1. Pour **Root Squash**, indiquez l'utilisateur et le groupe IDs avec lesquels l'utilisateur root peut accéder au système de fichiers. Vous pouvez spécifier n'importe quel nombre entier compris entre `1` — `4294967294` :
1. Pour **ID utilisateur**, spécifiez l'ID utilisateur que l'utilisateur root doit utiliser.
1. Pour **ID de groupe**, spécifiez l'ID de groupe que l'utilisateur root doit utiliser.
1. (Facultatif) Pour les **exceptions à la courge racine**, procédez comme suit :
1. Choisissez **Ajouter une adresse client**.
1. Dans le champ **Adresses des clients**, spécifiez l'adresse IP d'un client auquel Root Squash ne s'applique pas. Pour plus d'informations sur le format de l'adresse IP, voir[Comment fonctionne le courge-racine](#root-squash-overview).
1. Répétez l'opération si nécessaire pour ajouter d'autres adresses IP de clients.
1. Complétez l'assistant comme vous le faites lorsque vous créez un nouveau système de fichiers.
1. Choisissez **Review and create**.
1. Passez en revue les paramètres que vous avez choisis FSx pour votre système de fichiers Amazon for Lustre, puis choisissez **Create file system**.
Lorsque le système de fichiers est **disponible**, Root Squash est activé.
### Pour activer Root Squash lors de la création d'un système de fichiers (CLI)
+ Pour créer un système de fichiers FSx for Lustre avec root squash activé, utilisez la commande Amazon FSx CLI [https://docs.aws.amazon.com/cli/latest/reference/fsx/create-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/create-file-system.html)avec le `RootSquashConfiguration` paramètre. L'opération d'API correspondante est [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html).
Pour le `RootSquashConfiguration` paramètre, définissez les options suivantes :
+ `RootSquash`— Les valeurs UID:GID séparées par des virgules qui spécifient l'ID utilisateur et l'ID de groupe que l'utilisateur root doit utiliser. Vous pouvez spécifier n'importe quel nombre entier compris entre `0` — `4294967294` (0 correspond à la racine) pour chaque ID (par exemple,`65534:65534`).
+ `NoSquashNids`— Spécifiez les identifiants Lustre réseau (NIDs) des clients auxquels Root Squash ne s'applique pas. Pour plus d'informations sur le format NID du client, consultez[Comment fonctionne le courge-racine](#root-squash-overview).
L'exemple suivant crée un système de fichiers FSx for Lustre avec root squash activé :
```
$ aws fsx create-file-system \
--client-request-token CRT1234 \
--file-system-type LUSTRE \
--file-system-type-version 2.15 \
--lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
RootSquashConfiguration={RootSquash="65534:65534",\
NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
--storage-capacity 2400 \
--subnet-ids subnet-123456 \
--tags Key=Name,Value=Lustre-TEST-1 \
--region us-east-2
```
Après avoir créé le système de fichiers avec succès, Amazon FSx renvoie la description du système de fichiers au format JSON, comme illustré dans l'exemple suivant.
```
{
"FileSystems": [
{
"OwnerId": "111122223333",
"CreationTime": 1549310341.483,
"FileSystemId": "fs-0123456789abcdef0",
"FileSystemType": "LUSTRE",
"FileSystemTypeVersion": "2.15",
"Lifecycle": "CREATING",
"StorageCapacity": 2400,
"VpcId": "vpc-123456",
"SubnetIds": [
"subnet-123456"
],
"NetworkInterfaceIds": [
"eni-039fcf55123456789"
],
"DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
"ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
"Tags": [
{
"Key": "Name",
"Value": "Lustre-TEST-1"
}
],
"LustreConfiguration": {
"DeploymentType": "PERSISTENT_2",
"DataCompressionType": "LZ4",
"PerUnitStorageThroughput": 250,
"RootSquashConfiguration": {
"RootSquash": "65534:65534",
"NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
}
}
]
}
```
Vous pouvez également mettre à jour les paramètres root squash de votre système de fichiers existant à l'aide de la FSx console Amazon ou de l'API. AWS CLI Par exemple, vous pouvez modifier les valeurs UID et GID de root squash, ajouter ou supprimer un client NIDs ou désactiver root squash.
### Pour mettre à jour les paramètres de root squash sur un système de fichiers existant (console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Accédez à **Systèmes de fichiers**, puis choisissez le système de Lustre fichiers pour lequel vous souhaitez gérer Root Squash.
1. Pour **Actions**, choisissez **Mettre à jour la courge rouge**. Ou, dans le panneau **Résumé**, choisissez **Mettre à jour à** côté du champ **Root Squash** du système de fichiers pour afficher la boîte de dialogue **Mettre à jour les paramètres de Root Squash**.
1. Pour **Root Squash**, mettez à jour l'utilisateur et le groupe IDs avec lesquels l'utilisateur root peut accéder au système de fichiers. Vous pouvez spécifier n'importe quel nombre entier compris entre `0` —`4294967294`. Pour désactiver la courge racine, spécifiez `0` (zéro) pour les deux IDs.
1. Pour **ID utilisateur**, spécifiez l'ID utilisateur que l'utilisateur root doit utiliser.
1. Pour **ID de groupe**, spécifiez l'ID de groupe que l'utilisateur root doit utiliser.
1. Pour les **exceptions relatives à la courge** rouge, procédez comme suit :
1. Choisissez **Ajouter une adresse client**.
1. Dans le champ **Adresses des clients**, spécifiez l'adresse IP d'un client auquel root squash ne s'applique pas,
1. Répétez l'opération si nécessaire pour ajouter d'autres adresses IP de clients.
1. Choisissez **Mettre à jour**.
**Note**
Si Root squash est activé et que vous souhaitez le désactiver, choisissez **Désactiver** au lieu de suivre les étapes 4 à 6.
Vous pouvez suivre la progression de la mise à jour sur la page détaillée des systèmes de fichiers dans l'onglet **Mises à jour**.
### Pour mettre à jour les paramètres de root squash sur un système de fichiers existant (CLI)
Pour mettre à jour les paramètres de root squash pour un système de fichiers existant FSx pour Lustre, utilisez la AWS CLI commande [update-file-system](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html). L'opération d'API correspondante est [UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UdateFileSystem.html).
Définissez les paramètres suivants :
+ `--file-system-id`Défini sur l'ID du système de fichiers que vous mettez à jour.
+ Définissez les `--lustre-configuration RootSquashConfiguration` options comme suit :
+ `RootSquash`— Définissez les valeurs UID:GID séparées par des deux-points qui spécifient l'ID utilisateur et l'ID de groupe que l'utilisateur root doit utiliser. Vous pouvez spécifier n'importe quel nombre entier compris entre `0` — `4294967294` (0 correspond à la racine) pour chaque ID. Pour désactiver Root Squash, spécifiez `0:0` les valeurs UID:GID.
+ `NoSquashNids`— Spécifiez les identifiants Lustre réseau (NIDs) des clients auxquels Root Squash ne s'applique pas. `[]`À utiliser pour supprimer tous les clients NIDs, ce qui signifie qu'il n'y aura aucune exception à Root Squash.
Cette commande indique que root squash est activé en utilisant `65534` comme valeur l'ID utilisateur et l'ID de groupe de l'utilisateur root.
```
$ aws fsx update-file-system \
--file-system-id fs-0123456789abcdef0 \
--lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}
```
Si la commande aboutit, Amazon FSx for Lustre renvoie la réponse au format JSON.
Vous pouvez consulter les paramètres root squash de votre système de fichiers dans le panneau **Résumé** de la page de détails du système de fichiers sur la FSx console Amazon ou en réponse à une commande [https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html)CLI (l'action d'API équivalente est [https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)).