Network File System (NFS) tingkat pengguna, grup, dan izin - Sistem File Elastis Amazon
Contoh kasus penggunaan dan izin sistem EFS file AmazonIzin ID pengguna dan grup untuk file dan direktori dalam sistem fileTidak ada perencatan akarCaching izinMengubah kepemilikan objek sistem fileEFStitik akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Network File System (NFS) tingkat pengguna, grup, dan izin

Setelah membuat sistem file, secara default hanya pengguna root (UID0) yang telah membaca, menulis, dan mengeksekusi izin. Pengguna lain yang ingin memodifikasi sistem file harus secara eksplisit mendapatkan akses dari pengguna root. Anda dapat menggunakan titik akses untuk mengotomatiskan pembuatan direktori yang dapat ditulis oleh pengguna nonroot. Untuk informasi selengkapnya, lihat Bekerja dengan titik akses Amazon EFS.

Objek sistem EFS file Amazon memiliki mode gaya Unix yang terkait dengannya. Nilai mode ini mendefinisikan izin untuk melakukan tindakan pada objek tersebut. Pengguna yang akrab dengan sistem bergaya Unix dapat dengan mudah memahami EFS bagaimana Amazon berperilaku sehubungan dengan izin ini.

Selain itu, pada sistem bergaya Unix, pengguna dan grup dipetakan ke pengidentifikasi numerik, yang digunakan EFS Amazon untuk mewakili kepemilikan file. Untuk AmazonEFS, objek sistem file (yaitu, file, direktori, dan sebagainya) dimiliki oleh satu pemilik dan satu grup. Amazon EFS menggunakan numerik yang IDs dipetakan untuk memeriksa izin saat pengguna mencoba mengakses objek sistem file.

catatan

NFSProtokol mendukung maksimum 16 grup IDs (GIDs) per pengguna dan tambahan apa pun GIDs dipotong dari permintaan NFS klien. Untuk informasi selengkapnya, lihat Akses ditolak ke file yang diizinkan pada sistem NFS file.

Berikut ini, Anda dapat menemukan contoh izin dan diskusi tentang pertimbangan NFS izin untuk Amazon. EFS

Topik

Contoh kasus penggunaan dan izin sistem EFS file Amazon

Setelah Anda membuat sistem EFS file Amazon dan memasang target untuk sistem file di AndaVPC, Anda dapat memasang sistem file jarak jauh secara lokal di EC2 instans Amazon Anda. mountPerintah dapat me-mount direktori apa pun di sistem file. Namun, ketika Anda pertama kali membuat sistem file, hanya ada satu direktori root di/. Pengguna root dan grup root memiliki direktori yang dipasang.

mountPerintah berikut memasang direktori root dari sistem EFS file Amazon, diidentifikasi oleh DNS nama sistem file, pada direktori /efs-mount-point lokal.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

Mode izin awal memungkinkan:

  • read-write-executeizin ke root pemilik

  • read-executeizin ke root grup

  • read-executeizin untuk orang lain

Hanya pengguna root yang dapat memodifikasi direktori ini. Pengguna root juga dapat memberikan izin kepada pengguna lain untuk menulis ke direktori ini, misalnya:

  • Buat subdirektori per pengguna yang dapat ditulis. Untuk step-by-step instruksi, lihatTutorial: Membuat subdirektori per pengguna yang dapat ditulis.

  • Izinkan pengguna untuk menulis ke root sistem EFS file Amazon. Seorang pengguna dengan hak akses root dapat memberikan pengguna lain akses ke sistem file.

    • Untuk mengubah kepemilikan sistem EFS file Amazon menjadi pengguna dan grup non-root, gunakan yang berikut ini:

      $ sudo chown user:group /EFSroot

    • Untuk mengubah izin sistem file menjadi sesuatu yang lebih permisif, gunakan yang berikut ini:

      $ sudo chmod 777 /EFSroot

      Perintah ini memberikan read-write-execute hak istimewa kepada semua pengguna pada semua EC2 instance yang memiliki sistem file yang terpasang.

Izin ID pengguna dan grup untuk file dan direktori dalam sistem file

File dan direktori dalam sistem EFS file Amazon mendukung izin baca, tulis, dan eksekusi standar Unix berdasarkan ID pengguna dan grup. IDs Ketika NFS klien memasang sistem EFS file tanpa menggunakan titik akses, ID pengguna dan ID grup yang disediakan oleh klien dipercaya. Anda dapat menggunakan titik EFS akses untuk mengganti ID pengguna dan grup yang IDs digunakan oleh NFS klien. Ketika pengguna mencoba mengakses file dan direktori, Amazon EFS memeriksa pengguna IDs dan grup mereka IDs untuk memverifikasi bahwa setiap pengguna memiliki izin untuk mengakses objek. Amazon EFS juga menggunakan ini IDs untuk menunjukkan pemilik dan pemilik grup untuk file dan direktori baru yang dibuat pengguna. Amazon EFS tidak memeriksa nama pengguna atau grup — Amazon hanya menggunakan pengidentifikasi numerik.

catatan

Saat Anda membuat pengguna pada sebuah EC2 instance, Anda dapat menetapkan ID pengguna numerik (UID) dan ID grup (GID) ke pengguna. Pengguna numerik IDs diatur dalam /etc/passwd file pada sistem Linux. Grup numerik IDs ada di /etc/group file. File-file ini menentukan pemetaan antara nama dan. IDs Di luar EC2 instance, Amazon EFS tidak melakukan otentikasi apa punIDs, termasuk ID root 0.

Jika pengguna mengakses sistem EFS file Amazon dari dua EC2 instance yang berbeda, tergantung pada apakah UID untuk pengguna sama atau berbeda pada instance tersebut, Anda melihat perilaku yang berbeda, sebagai berikut:

  • Jika pengguna IDs sama pada kedua EC2 instance, Amazon EFS menganggap mereka menunjukkan pengguna yang sama, terlepas dari EC2 instance yang digunakan. Pengalaman pengguna saat mengakses sistem file sama dari kedua EC2 instance.

  • Jika pengguna IDs tidak sama pada kedua EC2 instance, Amazon EFS menganggap pengguna sebagai pengguna yang berbeda. Pengalaman pengguna tidak sama saat mengakses sistem EFS file Amazon dari dua EC2 instance yang berbeda.

  • Jika dua pengguna berbeda pada EC2 instans yang berbeda berbagi ID, Amazon EFS menganggap mereka sebagai pengguna yang sama.

Anda dapat mempertimbangkan untuk mengelola pemetaan ID pengguna di seluruh EC2 instance secara konsisten. Pengguna dapat memeriksa ID numerik mereka menggunakan id perintah.

$ id 

uid=502(joe) gid=502(joe) groups=502(joe)

Matikan ID Mapper

NFSUtilitas dalam sistem operasi termasuk daemon yang disebut ID Mapper yang mengelola pemetaan antara nama pengguna dan. IDs Di Amazon Linux, daemon dipanggil rpc.idmapd dan di Ubuntu disebut. idmapd Ini menerjemahkan pengguna dan grup IDs menjadi nama, dan sebaliknya. Namun, Amazon hanya EFS berurusan dengan numerikIDs. Kami menyarankan Anda mematikan proses ini pada EC2 instans Anda. Di Amazon Linux, ID mapper biasanya dinonaktifkan, dan jika tidak mengaktifkannya. Untuk mematikan ID mapper, gunakan perintah yang ditunjukkan berikut.

$  service rpcidmapd status
$  sudo service rpcidmapd stop

Tidak ada perencatan akar

Secara default, root squashing dinonaktifkan pada sistem EFS file. Amazon EFS berperilaku seperti NFS server Linux denganno_root_squash. Jika ID pengguna atau grup adalah 0, Amazon EFS memperlakukan pengguna tersebut sebagai root pengguna, dan melewati pemeriksaan izin (memungkinkan akses dan modifikasi ke semua objek sistem file). Root squashing dapat diaktifkan pada koneksi klien ketika identitas AWS Identity and Access Management (AWS IAM) atau kebijakan sumber daya tidak mengizinkan akses ke tindakan. ClientRootAccess Ketika root squashing diaktifkan, pengguna root dikonversi ke pengguna dengan izin terbatas di server. NFS

Untuk informasi selengkapnya, lihat Menggunakan IAM untuk mengontrol akses data sistem file.

Aktifkan root squashing menggunakan IAM otorisasi untuk klien NFS

Anda dapat mengonfigurasi Amazon EFS untuk mencegah akses root ke sistem EFS file Amazon Anda untuk semua AWS prinsipal kecuali untuk satu workstation manajemen. Anda melakukan ini dengan mengkonfigurasi AWS Identity and Access Management (IAM) otorisasi untuk klien Network File System (NFS).

Untuk melakukan hal ini memerlukan konfigurasi dua kebijakan IAM izin, sebagai berikut:

  • Buat kebijakan sistem EFS file yang secara eksplisit memungkinkan akses baca dan tulis ke sistem file, dan secara implisit menolak akses root.

  • Tetapkan IAM identitas ke workstation EC2 manajemen Amazon yang memerlukan akses root ke sistem file dengan menggunakan profil EC2 instans Amazon. Untuk informasi selengkapnya tentang profil EC2 instans Amazon, lihat Menggunakan Profil Instans di Panduan AWS Identity and Access Management Pengguna.

  • Tetapkan kebijakan yang AmazonElasticFileSystemClientFullAccess AWS dikelola untuk IAM peran workstation manajemen. Untuk informasi selengkapnya tentang kebijakan AWS terkelolaEFS, lihatManajemen identitas dan akses untuk Amazon EFS.

Untuk mengaktifkan root squashing menggunakan IAM otorisasi untuk NFS klien, gunakan prosedur berikut.

Untuk mencegah akses root ke sistem file

  1. Buka konsol Amazon Elastic File System di https://console.aws.amazon.com/efs/.

  2. Pilih Sistem file.

  3. Pilih sistem file yang ingin Anda aktifkan root squashing.

  4. Pada halaman detail sistem file, pilih Kebijakan sistem berkas, lalu pilih Edit. Halaman Kebijakan sistem file muncul.

  5. Pilih Cegah akses root secara default* di bawah Opsi kebijakan. JSONObjek kebijakan muncul di editor Kebijakan.

  6. Pilih Simpan untuk menyimpan kebijakan sistem file.

Klien yang tidak anonim bisa mendapatkan akses root ke sistem file melalui kebijakan berbasis identitas. Saat Anda melampirkan kebijakan AmazonElasticFileSystemClientFullAccess terkelola ke peran stasiun kerja, IAM memberikan akses root ke workstation berdasarkan kebijakan identitasnya.

Untuk mengaktifkan akses root dari workstation manajemen

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Buat peran untuk Amazon yang EC2 disebutEFS-client-root-access. IAMmembuat profil instance dengan nama yang sama dengan EC2 peran yang Anda buat.

  3. Tetapkan kebijakan AWS terkelola AmazonElasticFileSystemClientFullAccess ke EC2 peran yang Anda buat. Isi kebijakan ini ditampilkan sebagai berikut.

    {
    "Version”: "2012-10-17",
    "Statement": [
     {
         "Effect": "Allow",
         "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientRootAccess",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:DescribeMountTargets"
         ],
         "Resource": "*"
     }
 ]
}

  4. Lampirkan profil instance ke EC2 instance yang Anda gunakan sebagai workstation manajemen, seperti yang dijelaskan berikut ini. Untuk informasi selengkapnya, lihat Melampirkan IAM Peran ke Instance di Panduan EC2 Pengguna Amazon untuk Instans Linux.

    1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

    2. Di panel navigasi, pilih Instans.

    3. Pilih instance. Untuk Tindakan, pilih Pengaturan Instance, lalu pilih peran Lampirkan/Ganti IAM.

    4. Pilih IAM peran yang Anda buat pada langkah pertamaEFS-client-root-access, dan pilih Terapkan.

  5. Instal EFS mount helper di workstation manajemen. Untuk informasi lebih lanjut tentang EFS mount helper dan amazon-efs-utils paketnya, lihatMenginstal klien Amazon EFS.

  6. Pasang sistem EFS file pada workstation manajemen dengan menggunakan perintah berikut dengan opsi iam mount.

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Anda dapat mengonfigurasi EC2 instans Amazon untuk secara otomatis memasang sistem file dengan IAM otorisasi. Untuk informasi selengkapnya tentang pemasangan sistem EFS file dengan IAM otorisasi, lihatPemasangan dengan otorisasi IAM.

Caching izin

Amazon EFS menyimpan izin file untuk jangka waktu kecil. Akibatnya, mungkin ada jendela singkat di mana pengguna yang aksesnya dicabut baru-baru ini masih dapat mengakses objek itu.

Mengubah kepemilikan objek sistem file

Amazon EFS memberlakukan POSIX chown_restricted atribut. Ini berarti hanya pengguna root yang dapat mengubah pemilik objek sistem file. Root atau pengguna pemilik dapat mengubah grup pemilik objek sistem file. Namun, kecuali pengguna root, grup hanya dapat diubah menjadi salah satu yang pengguna pemilik adalah anggota.

EFStitik akses

Titik akses menerapkan jalur pengguna, grup, dan sistem file sistem operasi ke permintaan sistem file apa pun yang dibuat menggunakan titik akses. Pengguna dan grup sistem operasi titik akses mengesampingkan informasi identitas apa pun yang diberikan oleh NFS klien. Jalur sistem file diekspos ke klien sebagai direktori root titik akses. Pendekatan ini memastikan bahwa setiap aplikasi selalu menggunakan identitas sistem operasi yang benar dan direktori yang benar saat mengakses kumpulan data berbasis file bersama. Aplikasi yang menggunakan titik akses hanya bisa mengakses data di direktori sendiri dan di bawah ini. Untuk informasi lebih lanjut tentang titik akses, lihat Bekerja dengan titik akses Amazon EFS.