ファイルシステムポリシーの作成 - Amazon Elastic File System

ファイルシステムポリシーの作成

Amazon EFS コンソールまたは AWS CLI を使用してファイルシステムポリシーを作成できます。AWS SDK または Amazon EFS API を使用してプログラムでファイルシステムポリシーを直接作成することもできます。EFS ファイルシステムポリシーには 20,000 文字の制限があります。EFS ファイルシステムポリシーの使用および例の詳細については、「IAM を使用してファイルシステムのデータアクセスを制御する」を参照してください。

注記

Amazon EFS ファイルシステムポリシーの変更が有効になるまでに数分かかる場合があります。

  1. Amazon Elastic File System コンソール (https://console.aws.amazon.com/efs/) を開きます。

  2. [File Systems (ファイルシステム)] を選択します。

  3. [File systems (ファイルシステム)] ページで、ファイルシステムポリシーを編集または作成する対象のファイルシステムを選択します。

  4. [File system policy (ファイルシステムポリシー)]、[編集] の順に選択します。

  5. ポリシーのオプションの場合は、設定済みのファイルシステムポリシーの任意の組み合わせを選択できます。

    • デフォルトでルートアクセスを防止する - このオプションは、許可された EFS アクションの設定から ClientRootAccess を削除します。

    • デフォルトで読み取り専用アクセスを強制する - このオプションは、許可された EFS アクションの設定から ClientWriteAccess を削除します。

    • 匿名アクセスを防止する - このオプションは、許可された EFS アクションの設定から ClientMount を削除します。

    • すべてのクライアントに転送中の暗号化を強制する - このオプションは、暗号化されていないクライアントへのアクセスを拒否します。

    事前設定されたポリシーを選択すると、ポリシーの JSON オブジェクトが[Policy editor(ポリシーエディター)]ペインに表示されます。

  6. [追加のアクセス許可の付与]を使用して、別の AWS アカウント を含む[追加の IAM プリンシパル]にファイルシステムのアクセス許可を付与します。[Add(追加)] を選択し、アクセス許可を付与するエンティティのプリンシパル ARN を入力します。付与する[Permissions(アクセス許可)]を選択します。追加のアクセス許可は、[Policy editor(ポリシーエディター)]で表示されます。

  7. [Policy editor(ポリシーエディター)]を使用して、事前に設定されたポリシーをカスタマイズしたり、独自のファイルシステムポリシーを作成したりできます。エディタを使用すると、事前設定されたポリシーオプションは使用できなくなります。現在のファイルシステムポリシーをクリアして新しいポリシーの作成を開始するには、[Clear(クリア)]を選択します。

    エディタをクリアすると、事前設定されたポリシーが再度使用可能になります。

  8. ポリシーの編集が完了したら、[Save(保存)]を選択します。

以下の例では、put-file-system-policy CLI コマンドは、指定された AWS アカウント に EFS ファイルシステムへの読み取り専用アクセスを許可するファイルシステムポリシーを作成します。同等の API コマンドは PutFileSystemPolicy です。

aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{
    "Id": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            }
        }                                                                                                 
    ]
}'
{
    "FileSystemId": "fs-01234567",
    "Policy": "{
    "Version" : "2012-10-17",
    "Id" : "1",
    "Statement" : [
        {
           "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555",
           "Effect" : "Allow",
           "Principal" : {
              "AWS" : "arn:aws:iam::111122223333:root"
           },
           "Action" : [ 
              "elasticfilesystem:ClientMount" 
           ],
           "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567"
           } 
        ]
    }
}