Esempi di policy basate sulle risorse per Amazon EFS EFSAmazon - Amazon Elastic File System

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sulle risorse per Amazon EFS EFSAmazon

In questa sezione sono disponibili policy del file system di esempio che concedono o rifiutano le autorizzazioni per diverse operazioni Amazon EFS. Le policy del file system EFS hanno un limite di 20.000 caratteri. Per informazioni sugli elementi di una policy basata sulle risorse, consulta Policy basate su risorse all'interno di Amazon EFS.

Importante

Se si concede l'autorizzazione a un singolo utente o ruolo IAM in un criterio del file system, non eliminare o ricreare tale utente o ruolo mentre il criterio è ancora attivo sul file system. In questo caso, tale utente o ruolo viene effettivamente bloccato fuori dal file system e non sarà in grado di accedervi. Per ulteriori informazioni, vedere Specifica di un utente/gruppo/ruolo nel manuale utente IAM.

Per ulteriori informazioni sulla creazione di una policy di file system, consulta Creazione di policy del file system.

Esempio: concedere l'accesso in lettura e scrittura a un ruolo specifico AWS

In questo esempio, la policy del file system EFS dispone delle seguenti caratteristiche:

  • L'effetto è Allow.

  • L’entità principale è impostata su Testing_Role in Account AWS.

  • L'operazione è impostata su ClientMount (lettura) e ClientWrite.

  • La condizione per la concessione delle autorizzazioni è impostata su AccessedViaMountTarget.

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }

Esempio: concedere accesso in sola lettura

La seguente policy del file system concede solo autorizzazioniClientMount, o di sola lettura, al ruolo IAM. EfsReadOnly

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

Per informazioni su come impostare ulteriori policy del file system, incluso rifiutare l'accesso root a tutti i principali IAM, ad eccezione di una workstation di gestione specifica, consulta Abilita il root squashing utilizzando l'autorizzazione per i client IAM NFS.

Esempio: concedere l'accesso a un punto di accesso EFS

Utilizzare una policy di accesso EFS per fornire a un client NFS una visualizzazione specifica dell'applicazione in set di dati condivisi basati su file in un file system EFS. Concedere le autorizzazioni del punto di accesso sul file system utilizzando una policy del file system.

Questo esempio di policy di file utilizza un elemento condizione per concedere l'accesso al file system a un punto di accesso specifico identificato dal relativo ARN completo.

Per ulteriori informazioni sui punti di accesso EFS, consulta Utilizzo dei punti di accesso Amazon EFS.

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }