Utenti, gruppi e autorizzazioni a livello di Network File System (NFS) - Amazon Elastic File System
Esempi di casi d'uso e autorizzazioni del EFS file system AmazonAutorizzazioni ID utente e di gruppo per file e directory all'interno di un file systemNo Root SquashingCaching delle autorizzazioniModifica della proprietà degli oggetti del file systemEFSpunti di accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utenti, gruppi e autorizzazioni a livello di Network File System (NFS)

Dopo aver creato un file system, per impostazione predefinita solo l'utente root (UID0) dispone delle autorizzazioni di lettura, scrittura ed esecuzione. Affinché gli altri utenti possano modificare il file system, l'utente root deve esplicitamente concedere loro l'accesso. È possibile utilizzare i punti di accesso per automatizzare la creazione di directory da cui un utente non root può scrivere. Per ulteriori informazioni, consulta Lavorare con i punti di EFS accesso Amazon.

Agli oggetti del EFS file system di Amazon è associata una modalità in stile Unix. Questo valore di modalità definisce le autorizzazioni per l'esecuzione di azioni su quell'oggetto. Gli utenti che hanno familiarità con i sistemi in stile Unix possono facilmente capire EFS come si comporta Amazon rispetto a queste autorizzazioni.

Inoltre, nei sistemi in stile Unix, gli utenti e i gruppi sono mappati su identificatori numerici, che EFS Amazon utilizza per rappresentare la proprietà dei file. Per AmazonEFS, gli oggetti del file system (ovvero file, directory e così via) sono di proprietà di un singolo proprietario e di un singolo gruppo. Amazon EFS utilizza il numero mappato IDs per verificare le autorizzazioni quando un utente tenta di accedere a un oggetto del file system.

Nota

Il NFS protocollo supporta un massimo di 16 gruppi IDs (GIDs) per utente e gli eventuali gruppi aggiuntivi GIDs vengono troncati dalle richieste dei client. NFS Per ulteriori informazioni, consulta Accesso negato ai file consentiti sul NFS file system.

Di seguito, puoi trovare esempi di autorizzazioni e una discussione sulle considerazioni relative NFS alle autorizzazioni per Amazon. EFS

Argomenti

Esempi di casi d'uso e autorizzazioni del EFS file system Amazon

Dopo aver creato un EFS file system Amazon e aver montato le destinazioni per il file system nel tuoVPC, puoi montare il file system remoto localmente sulla tua EC2 istanza Amazon. Il comando mount può montare qualsiasi cartella presente nel file system. Tuttavia, quando si crea il file system, è disponibile solo una cartella principale all'indirizzo /. L'utente root e il gruppo root sono proprietari della directory montata.

Il mount comando seguente monta la directory principale di un EFS file system Amazon, identificato dal DNS nome del file system, nella directory /efs-mount-point locale.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

Le autorizzazioni iniziali attribuiscono:

  • autorizzazioni di read-write-execute per il proprietario root

  • autorizzazioni di read-execute per il gruppo root

  • autorizzazioni di read-execute per gli altri utenti

Solo l'utente root può modificare questa directory. L'utente root può anche concedere le autorizzazioni di scrittura su questa directory ad altri utenti, ad esempio:

  • Creare sottocartelle con possibilità di scrittura per gli utenti. Per step-by-step istruzioni, consultaTutorial: creazione di sottodirectory scrivibili per utente.

  • Consenti agli utenti di scrivere nella directory principale EFS del file system Amazon. Un utente con privilegi di root può concedere ad altri utenti l'accesso al file system.

    • Per modificare la proprietà EFS del file system Amazon in un utente e un gruppo non root, utilizza quanto segue:

      $ sudo chown user:group /EFSroot

    • Per modificare le autorizzazioni del file system per renderlo un po' più permissivo, utilizzare il seguente comando:

      $ sudo chmod 777 /EFSroot

      Questo comando concede read-write-execute i privilegi a tutti gli utenti su tutte le EC2 istanze su cui è montato il file system.

Autorizzazioni ID utente e di gruppo per file e directory all'interno di un file system

I file e le directory in un EFS file system Amazon supportano autorizzazioni di lettura, scrittura ed esecuzione standard in stile Unix basate sull'ID utente e sul gruppo. IDs Quando un NFS client installa un EFS file system senza utilizzare un punto di accesso, l'ID utente e l'ID di gruppo forniti dal client sono considerati affidabili. È possibile utilizzare i punti di EFS accesso per sovrascrivere l'ID utente e il gruppo IDs utilizzati dal NFS client. Quando gli utenti tentano di accedere a file e directory, Amazon EFS controlla l'utente IDs e il gruppo IDs per verificare che ogni utente disponga dell'autorizzazione ad accedere agli oggetti. Amazon li utilizza EFS anche IDs per indicare il proprietario e il proprietario del gruppo per i nuovi file e directory creati dall'utente. Amazon EFS non esamina i nomi degli utenti o dei gruppi, ma utilizza solo gli identificatori numerici.

Nota

Quando crei un utente su un'EC2istanza, puoi assegnare qualsiasi ID utente numerico (UID) e ID di gruppo () all'utente. GID Gli utenti numerici IDs sono impostati nel /etc/passwd file sui sistemi Linux. Il gruppo numerico IDs si trova nel /etc/group file. Questi file definiscono le mappature tra i nomi e. IDs Al di fuori dell'EC2istanza, Amazon EFS non esegue alcuna autenticazione di questiIDs, incluso l'ID root 0.

Se un utente accede a un EFS file system Amazon da due EC2 istanze diverse, a seconda che l'UIDutente sia lo stesso o diverso in quelle istanze, vedrai un comportamento diverso, come segue:

  • Se l'utente IDs è lo stesso in entrambe EC2 le istanze, Amazon EFS ritiene che indichino lo stesso utente, indipendentemente dall'EC2istanza utilizzata. L'esperienza utente durante l'accesso al file system è la stessa in entrambe le EC2 istanze.

  • Se l'utente IDs non è lo stesso in entrambe EC2 le istanze, Amazon EFS considera gli utenti come utenti diversi. L'esperienza utente non è la stessa quando si accede al EFS file system Amazon da due EC2 istanze diverse.

  • Se due utenti diversi su EC2 istanze diverse condividono un ID, Amazon li EFS considera lo stesso utente.

Potresti prendere in considerazione la possibilità di gestire in modo coerente le mappature degli ID utente tra le istanzeEC2. Gli utenti possono controllare il loro ID numerico utilizzando il comando id.

$ id 

uid=502(joe) gid=502(joe) groups=502(joe)

Disattivare l'ID Mapper

Le NFS utilità del sistema operativo includono un demone chiamato ID Mapper che gestisce la mappatura tra i nomi utente e. IDs Su Amazon Linux, il daemon viene chiamato rpc.idmapd e su Ubuntu viene chiamato idmapd. Traduce utente e gruppo IDs in nomi e viceversa. Tuttavia, Amazon EFS si occupa solo di numeri. IDs Ti consigliamo di disattivare questo processo sulle tue EC2 istanze. Su Amazon Linux, di solito l'ID mapper è disabilitato; se lo è, non va abilitato. Per disattivare l'ID mapper, utilizzare i comandi riportati di seguito.

$  service rpcidmapd status
$  sudo service rpcidmapd stop

No Root Squashing

Per impostazione predefinita, il root squashing è disabilitato sui file system. EFS Amazon EFS si comporta come un NFS server Linux conno_root_squash. Se un ID utente o di gruppo è 0, Amazon EFS considera quell'utente come utente e ignora i controlli delle autorizzazioni (permettendo root l'accesso e la modifica a tutti gli oggetti del file system). Il root squashing può essere abilitato su una connessione client quando la politica di identità o risorsa AWS Identity and Access Management (AWS IAM) non consente l'accesso all'azione. ClientRootAccess Quando il root squashing è abilitato, l'utente root viene convertito in un utente con autorizzazioni limitate sul server. NFS

Per ulteriori informazioni, consulta Utilizzato IAM per controllare l'accesso ai dati del file system.

Abilita il root squashing utilizzando l'autorizzazione per i client IAM NFS

Puoi configurare Amazon EFS per impedire l'accesso root al tuo EFS file system Amazon per tutti AWS i principali ad eccezione di una singola workstation di gestione. Puoi farlo configurando l'autorizzazione AWS Identity and Access Management (IAM) per i client Network File System (NFS).

A tale scopo è necessario configurare due politiche di IAM autorizzazione, come segue:

  • Crea una politica EFS del file system che consenta esplicitamente l'accesso in lettura e scrittura al file system e neghi implicitamente l'accesso root.

  • Assegna un'IAMidentità alla workstation di EC2 gestione Amazon che richiede l'accesso root al file system utilizzando un profilo di EC2 istanza Amazon. Per ulteriori informazioni sui profili di EC2 istanza Amazon, consulta Using Instance Profiles nella AWS Identity and Access Management User Guide.

  • Assegna la policy AmazonElasticFileSystemClientFullAccess AWS gestita al IAM ruolo della workstation di gestione. Per ulteriori informazioni sulle politiche AWS gestite perEFS, vedere. Gestione delle identità e degli accessi per Amazon EFS

Per abilitare il root squashing utilizzando l'IAMautorizzazione per NFS i client, utilizzare le seguenti procedure.

Disattivazione dell'accesso root al file system

  1. Apri la console Amazon Elastic File System all'indirizzo https://console.aws.amazon.com/efs/.

  2. Seleziona File system.

  3. Scegli il file system su cui vuoi abilitare il root squashing.

  4. Nella pagina dei dettagli del file system, scegli Policy del file system, quindi scegli Modifica. Viene visualizzata la pagina Policy del file system.

  5. Scegli Impedisci l'accesso root per impostazione predefinita* in Opzioni di policy. L'JSONoggetto della politica viene visualizzato nell'editor delle politiche.

  6. Scegliere Salva per salvare la policy del file system.

I client non anonimi possono ottenere l'accesso root al file system tramite una policy basata su identità. Quando si associa la policy AmazonElasticFileSystemClientFullAccess gestita al ruolo della workstation, IAM concede l'accesso root alla workstation in base alla sua politica di identità.

Per abilitare l'accesso root dalla workstation di gestione

  1. Apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/

  2. Crea un ruolo per Amazon EC2 chiamatoEFS-client-root-access. IAMcrea un profilo di istanza con lo stesso nome del EC2 ruolo che hai creato.

  3. Assegna la policy AWS gestita AmazonElasticFileSystemClientFullAccess al EC2 ruolo che hai creato. Il contenuto di questa policy è mostrato di seguito.

    {
    "Version”: "2012-10-17",
    "Statement": [
     {
         "Effect": "Allow",
         "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientRootAccess",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:DescribeMountTargets"
         ],
         "Resource": "*"
     }
 ]
}

  4. Associa il profilo dell'EC2istanza all'istanza che stai utilizzando come workstation di gestione, come descritto di seguito. Per ulteriori informazioni, consulta Attaching an IAM Role to an Instance nella Amazon EC2 User Guide for Linux Instances.

    1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

    2. Nel pannello di navigazione, seleziona Instances (Istanze).

    3. Seleziona l'istanza. Per Azioni, scegli Impostazioni dell'istanza, quindi scegli Allega/Sostituisci ruolo IAM.

    4. Scegli il IAM ruolo che hai creato nel primo passaggio e scegli EFS-client-root-access Applica.

  5. Installa il EFS mount helper sulla workstation di gestione. Per ulteriori informazioni sul EFS mount helper e sul amazon-efs-utils pacchetto, vedere. Installazione del EFS client Amazon

  6. Montate il EFS file system sulla workstation di gestione utilizzando il seguente comando con l'opzione iam mount.

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Puoi configurare l'EC2istanza Amazon per montare automaticamente il file system con IAM autorizzazione. Per ulteriori informazioni sul montaggio di un EFS file system con IAM autorizzazione, consultaMontaggio con autorizzazione IAM.

Caching delle autorizzazioni

Amazon EFS memorizza nella cache le autorizzazioni dei file per un breve periodo di tempo. Di conseguenza, ci potrebbe essere una breve finestra temporale in cui un utente che aveva accesso a un oggetto del file system, ma il cui accesso è stato revocato di recente, può ancora accedere a quell'oggetto.

Modifica della proprietà degli oggetti del file system

Amazon EFS applica l'POSIXchown_restrictedattributo. Questo significa solo l'utente root può modificare il proprietario di un oggetto del file system. Il root dell'utente proprietario può modificare il gruppo proprietario di un oggetto del file system. Tuttavia, a meno che l'utente non sia un utente root, il gruppo può essere modificato solo in un gruppo di cui sia membro l'utente proprietario.

EFSpunti di accesso

Un punto di accesso applica un utente del sistema operativo, gruppo e percorso del file system a qualsiasi richiesta di file system effettuata utilizzando il punto di accesso. L'utente e il gruppo del sistema operativo del punto di accesso hanno la precedenza su qualsiasi informazione di identità fornita dal NFS client. Il percorso file system viene esposto al client come la directory radice del punto di accesso. Con questo approccio ogni applicazione utilizza sempre l'identità del sistema operativo corretta e la directory corretta durante l'accesso a set di dati basati su file condivisi. Le applicazioni che utilizzano il punto di accesso possono accedere ai dati solo nella propria directory e sotto a questa. Per ulteriori informazioni sui punti di accesso, consulta la sezione Lavorare con i punti di EFS accesso Amazon.