Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan IAM untuk mengontrol akses data sistem file
Anda dapat menggunakan kebijakan IAM identitas dan kebijakan sumber daya untuk mengontrol akses klien ke EFS sumber daya Amazon dengan cara yang dapat diskalakan dan dioptimalkan untuk lingkungan cloud. Dengan menggunakanIAM, Anda dapat mengizinkan klien untuk melakukan tindakan tertentu pada sistem file, termasuk akses read-only, write, dan root. Izin “izinkan” pada suatu tindakan baik dalam kebijakan IAM identitas atau kebijakan sumber daya sistem file memungkinkan akses untuk tindakan tersebut. Izin tidak perlu diberikan baik dalam identitas maupun kebijakan sumber daya.
NFSklien dapat mengidentifikasi diri mereka menggunakan IAM peran saat menghubungkan ke sistem EFS file. Saat klien terhubung ke sistem file, Amazon EFS mengevaluasi kebijakan IAM sumber daya sistem file, yang disebut kebijakan sistem file, bersama dengan IAM kebijakan berbasis identitas apa pun untuk menentukan izin akses sistem file yang sesuai untuk diberikan.
Saat Anda menggunakan IAM otorisasi untuk NFS klien, koneksi klien dan keputusan IAM otorisasi dicatat. AWS CloudTrail Untuk informasi selengkapnya tentang cara mencatat EFS API panggilan Amazon CloudTrail, lihatMencatat EFS API panggilan Amazon dengan AWS CloudTrail.
penting
Anda harus menggunakan EFS mount helper untuk me-mount sistem EFS file Amazon Anda agar dapat menggunakan IAM otorisasi untuk mengontrol akses klien. Untuk informasi selengkapnya, lihat Pemasangan dengan IAM otorisasi.
Kebijakan sistem EFS file default
Kebijakan sistem EFS file default tidak digunakan IAM untuk mengautentikasi, dan memberikan akses penuh ke klien anonim mana pun yang dapat terhubung ke sistem file menggunakan target pemasangan. Kebijakan default berlaku setiap kali kebijakan sistem file yang dikonfigurasi pengguna tidak berlaku, termasuk pada pembuatan sistem file. Setiap kali kebijakan sistem file default berlaku, DescribeFileSystemPolicy API operasi mengembalikan PolicyNotFound respons.
EFStindakan untuk klien
Anda dapat menentukan tindakan berikut untuk klien yang mengakses sistem file menggunakan kebijakan sistem file.
| Tindakan | Deskripsi |
|---|---|
|
|
Menyediakan akses read-only ke sistem file. |
|
|
Memberikan izin menulis pada sistem file. |
|
|
Menyediakan penggunaan pengguna root saat mengakses sistem file. |
EFSkunci kondisi untuk klien
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Amazon EFS memiliki kunci kondisi standar berikut untuk NFS klien. Kunci kondisi lainnya tidak diberlakukan saat menggunakan IAM kontrol untuk mengamankan akses ke sistem EFS file.
| EFSKunci Kondisi | Deskripsi | Operator |
|---|---|---|
aws:SecureTransport |
Gunakan kunci ini untuk meminta klien untuk menggunakan TLS saat menghubungkan ke sistem EFS file. |
Boolean |
aws:SourceIp |
Alamat IP pribadi klien yang mengakses sistem EFS file. | String |
elasticfilesystem:AccessPointArn |
ARNdari titik EFS akses yang terhubung dengan klien. | String |
elasticfilesystem:AccessedViaMountTarget |
Gunakan kunci ini untuk mencegah akses ke sistem EFS file oleh klien yang tidak menggunakan target pemasangan sistem file. | Boolean |
Contoh kebijakan sistem file
Untuk melihat contoh kebijakan sistem EFS file Amazon, lihatContoh kebijakan berbasis sumber daya untuk Amazon EFSAmazon EFS.
