EFS ファイルシステムへのパブリックアクセスのブロック - Amazon Elastic File System
AWS Transfer Familyを使用したパブリックアクセスのブロック「パブリック」の意味

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EFS ファイルシステムへのパブリックアクセスのブロック

Amazon のパブリックアクセスEFSブロック機能には、EFSファイルシステムへのパブリックアクセスの管理に役立つ設定が用意されています。デフォルトでは、新しいEFSファイルシステムではパブリックアクセスが許可されません。ただし、パブリックアクセスを許可するようにファイルシステムポリシーを変更することはできます。

重要

パブリックアクセスのブロックを有効にすると、ファイルシステムに直接アタッチされたリソースポリシーを通じてパブリックアクセスが付与されないようにすることで、リソースを保護することができます。[パブリックアクセスをブロック] を有効にすること以外にも、次のポリシーを慎重に検査して、パブリックアクセスを付与していないことを確認します。

  • 関連付けられた AWS プリンシパルにアタッチされたアイデンティティベースのポリシー (IAMロールなど)

  • 関連付けられたリソースにアタッチされた AWS リソースベースのポリシー (例:AWS Key Management Service (KMS) キー)

AWS Transfer Familyを使用したパブリックアクセスのブロック

EFS で Amazon を使用する場合 AWS Transfer Family、ファイルシステムがパブリックアクセスを許可している場合、ファイルシステムとは異なるアカウントが所有する Transfer Family サーバーから受信したファイルシステムアクセスリクエストはブロックされます。Amazon はファイルシステムのIAMポリシーEFSを評価し、ポリシーがパブリックの場合、リクエストをブロックします。ファイルシステム AWS Transfer Family へのアクセスを許可するには、ファイルシステムポリシーを更新して、パブリックと見なされないようにします。

注記

Amazon での Transfer Family の使用は、2021 年 1 月 6 日より前に作成されたパブリックアクセスを許可するポリシーを持つEFSファイルシステム AWS アカウントを持つ では、デフォルトで無効EFSになっています。Transfer Family を使用してファイルシステムにアクセスできるようにするには、 AWS サポートにお問い合わせください。

「パブリック」の意味

ファイルシステムがパブリックアクセスを許可するかどうかを評価する場合、Amazon はファイルシステムポリシーがパブリックであるEFSと見なします。その後、ファイルシステムのポリシーを評価して、非パブリックとしての資格があるかどうかを判断します。非パブリックと見なすには、ファイルシステムポリシーは、次のうち 1 つ以上の固定値 (ワイルドカードを含まない値) にのみアクセスを許可する必要があります。

  • を使用した一連のクラスレスドメイン間ルーティング (CIDRs)aws:SourceIp。の詳細についてはCIDR、エディタウェブサイトRFCの「4632RFC」を参照してください。

  • AWS プリンシパル、ユーザー、ロール、またはサービスプリンシパル (例: aws:PrincipalOrgID

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

これらのルールでは、次のポリシー例はパブリックと見なされます。

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

EFS 条件キーを true elasticfilesystem:AccessedViaMountTargetに設定することで、このファイルシステムポリシーを非公開にすることができます。を使用してelasticfilesystem:AccessedViaMountTarget、EFSファイルシステムのマウントターゲットを使用してファイルシステムにアクセスするクライアントに指定されたEFSアクションを許可できます。以下の非公開ポリシーでは、elasticfilesystem:AccessedViaMountTarget 条件のキーを [true] に設定して使用します。

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

Amazon EFS条件キーの詳細については、「」を参照してくださいEFS クライアントの条件キー。ファイルシステムポリシーの作成の詳細については、「ファイルシステムポリシーの作成」を参照してください。