Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis sumber daya untuk Amazon EFSAmazon EFS
Di bagian ini, Anda dapat menemukan contoh kebijakan sistem file yang memberikan atau menolak izin untuk berbagai EFS tindakan Amazon. Kebijakan sistem EFS file Amazon memiliki batas 20.000 karakter. Untuk informasi tentang elemen kebijakan berbasis sumber daya, lihat. Kebijakan berbasis sumber daya di Amazon EFS
penting
Jika Anda memberikan izin kepada IAM pengguna individu atau peran dalam kebijakan sistem file, jangan menghapus atau membuat ulang pengguna atau peran tersebut saat kebijakan berlaku pada sistem file. Jika ini terjadi, pengguna atau peran itu secara efektif dikunci dari sistem file dan tidak akan dapat mengaksesnya. Untuk informasi selengkapnya, lihat Menentukan Prinsipal di Panduan IAM Pengguna.
Untuk informasi tentang cara membuat kebijakan sistem file, lihatMembuat kebijakan sistem file.
Topik
Contoh: Berikan akses baca dan tulis ke AWS peran tertentu
Dalam contoh ini, kebijakan sistem EFS file memiliki karakteristik sebagai berikut:
-
Efeknya adalah
Allow. -
Prinsipal diatur ke Testing_Role di. Akun AWS
-
Tindakan diatur ke
ClientMount(baca), danClientWrite. -
Kondisi untuk memberikan izin diatur ke.
AccessedViaMountTarget
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
Contoh: Berikan akses hanya-baca
Kebijakan sistem file berikut hanya memberikanClientMount, atau hanya-baca, izin untuk peran tersebut. EfsReadOnly IAM
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
Untuk mempelajari cara menyetel kebijakan sistem file tambahan, termasuk menolak akses root ke semua IAM prinsipal, kecuali untuk workstation manajemen tertentu, lihat. Aktifkan root squashing menggunakan IAM otorisasi untuk klien NFS
Contoh: Berikan akses ke titik EFS akses
Anda menggunakan kebijakan EFS akses untuk menyediakan NFS klien dengan tampilan khusus aplikasi ke dalam kumpulan data berbasis file bersama pada sistem file. EFS Anda memberikan izin titik akses pada sistem file menggunakan kebijakan sistem file.
Contoh kebijakan file ini menggunakan elemen kondisi untuk memberikan titik akses tertentu yang diidentifikasi oleh akses ARN penuh ke sistem file.
Untuk informasi selengkapnya tentang penggunaan titik EFS akses, lihatBekerja dengan titik EFS akses Amazon.
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }
