Memblokir akses publik ke sistem file Amazon EFS - Amazon Elastic File System
Memblokir akses publik dengan AWS Transfer FamilyArti “publik”

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memblokir akses publik ke sistem file Amazon EFS

Fitur Amazon EFS memblokir akses publik menyediakan pengaturan untuk membantu Anda mengelola akses publik ke sistem file Amazon EFS. Secara default, sistem file Amazon EFS baru tidak mengizinkan akses publik. Namun, Anda dapat mengubah kebijakan sistem file untuk memungkinkan akses publik.

penting

Mengaktifkan akses Blokir Akses Publik membantu melindungi sumber daya Anda dengan mencegah akses publik diberikan melalui kebijakan sumber daya yang langsung dilampirkan ke sistem file. Selain mengaktifkan Blokir Akses Publik, periksa kebijakan berikut dengan cermat untuk mengonfirmasi bahwa kebijakan tersebut tidak memberikan akses publik:

  • Kebijakan berbasis identitas yang dilampirkan pada AWS prinsipal terkait (misalnya, peran IAM)

  • Kebijakan berbasis sumber daya yang dilampirkan pada AWS sumber daya terkait (misalnya, kunci (KMS AWS Key Management Service ))

Memblokir akses publik dengan AWS Transfer Family

Saat Anda menggunakan Amazon EFS dengan AWS Transfer Family, permintaan akses sistem file yang diterima dari server Transfer Family yang dimiliki oleh akun berbeda dari sistem file akan diblokir jika sistem file mengizinkan akses publik. Amazon EFS mengevaluasi kebijakan IAM sistem file, dan jika kebijakan tersebut bersifat publik, kebijakan tersebut memblokir permintaan. Untuk mengizinkan AWS Transfer Family akses ke sistem file Anda, perbarui kebijakan sistem file Anda sehingga tidak dianggap publik.

catatan

Menggunakan Transfer Family dengan Amazon EFS dinonaktifkan secara default untuk Akun AWS s yang memiliki sistem file EFS dengan kebijakan yang memungkinkan akses publik yang dibuat sebelum 6 Januari 2021. Untuk mengaktifkan penggunaan Transfer Family untuk mengakses sistem file Anda, hubungi AWS Support.

Arti “publik”

Saat mengevaluasi apakah sistem file memungkinkan akses publik, Amazon EFS mengasumsikan bahwa kebijakan sistem file bersifat publik. Kemudian mengevaluasi kebijakan sistem file untuk menentukan apakah itu memenuhi syarat sebagai non-publik. Agar dianggap non-publik, kebijakan sistem file harus memberikan akses hanya ke nilai tetap (nilai yang tidak mengandung kartu liar) dari satu atau beberapa hal berikut:

  • Satu set Perutean Antar-Domain Tanpa Kelas (CIDRs), menggunakan aws:SourceIp. Untuk informasi lebih lanjut tentang CIDR, lihat RFC 4632 di situs web Editor RFC.

  • AWS Prinsipal, pengguna, peran, atau prinsipal layanan (misalnya,aws:PrincipalOrgID)

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

Berdasarkan aturan ini, contoh kebijakan berikut dianggap publik.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

Anda dapat membuat kebijakan sistem file ini non-publik dengan menggunakan kunci kondisi EFS yang elasticfilesystem:AccessedViaMountTarget disetel ke true. Anda dapat menggunakan elasticfilesystem:AccessedViaMountTarget untuk mengizinkan tindakan EFS yang ditentukan kepada klien yang mengakses sistem file EFS menggunakan target pemasangan sistem file. Kebijakan non-publik berikut menggunakan kunci elasticfilesystem:AccessedViaMountTarget kondisi yang disetel ke true.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

Untuk informasi selengkapnya tentang kunci kondisi Amazon EFS, lihatKunci kondisi EFS untuk klien. Untuk informasi selengkapnya tentang membuat kebijakan sistem file, lihatMembuat kebijakan sistem file.