IAM を使用してファイルシステムのデータアクセスを制御する
IAM の アイデンティティ ポリシーとリソースポリシーの両方を使用して、クラウド環境向けのスケーラブルで最適化された方法により、Amazon EFS リソースへのクライアントアクセスを制御できます。IAM を使用すると、読み取り専用アクセス、書き込みアクセス、ルートアクセスなどの特定のアクションをファイルシステムに実行することをクライアントに許可できます。IAM アイデンティティポリシーまたはファイルシステムリソースポリシーのいずれかで、アクションに 「許可」権限を付与すると、そのアクションへのアクセスが許可されます。ID ポリシーとリソースポリシーの両方で権限を付与する必要はありません。
NFS クライアントは、EFS ファイルシステムに接続するときに、IAM ロールを使用してそれ自体を識別できます。クライアントがファイルシステムに接続すると、Amazon EFS はファイルシステムの IAM リソースポリシー (ファイルシステムポリシー) とアイデンティティベースの IAM ポリシーを評価し、付与する適切なファイルシステムアクセス許可を決定します。
NFS クライアントの IAM 認可を使用すると、クライアント接続と IAM 認可の決定がAWS CloudTrailに記録されます。CloudTrail を使用して Amazon EFS API コールを記録する方法の詳細については、「AWS CloudTrail での Amazon EFS API コールのログ記録」を参照してください。
重要
IAM 認可を使用してクライアントによるアクセスをコントロールするには、EFS マウントヘルパーを使用して Amazon EFS ファイルシステムをマウントする必要があります。詳細については、「IAM 認可を使用してマウントする」を参照してください。
デフォルトの EFS ファイルシステムポリシー
デフォルトの EFS ファイルシステムポリシーは、認証に IAM を使用せず、マウントターゲットを使用して、ファイルシステムに接続できる任意の匿名クライアントにフルアクセスを許可します。デフォルトポリシーは、ファイルシステムの作成時を含め、ユーザーが設定したファイルシステムポリシーが有効でない場合は常に有効になります。デフォルトのファイルシステムポリシーが有効な場合、DescribeFileSystemPolicy API オペレーションは PolicyNotFound レスポンスを返します。
クライアントの EFS アクション
ファイルシステムポリシーを使用してファイルシステムにアクセスするクライアントに対して、以下のアクションを指定できます。
| アクション | 説明 |
|---|---|
|
|
ファイルシステムへの読み取り専用アクセス許可を付与します。 |
|
|
ファイルシステムへの書き込みアクセス許可を付与します。 |
|
|
ファイルシステムへのアクセス時にルートユーザーの使用を許可します。 |
クライアントの EFS 条件キー
条件を表すには、あらかじめ定義された条件キーを使用します。Amazon EFS には、NFS クライアント用に次の事前定義された条件キーがあります。IAM コントロールを使用して EFS ファイルシステムへのアクセスを保護する場合、その他の条件キーは適用されません。
| EFS 条件キー | 説明 | 演算子 |
|---|---|---|
aws:SecureTransport |
このキーを使用して、EFS ファイルシステムに接続するときに TLS の使用をクライアントに要求します。 |
ブール値 |
aws:SourceIp |
EFS ファイルシステムにアクセスするクライアントのプライベート IP アドレス。 | 文字列 |
elasticfilesystem:AccessPointArn |
クライアントが接続している EFS アクセスポイントの ARN。 | 文字列 |
elasticfilesystem:AccessedViaMountTarget |
このキーを使用して、ファイルシステムマウントターゲットを使用していないクライアントによる EFS ファイルシステムへのアクセスを防止します。 | ブール値 |
ファイルシステムポリシーの例
Amazon EFS ファイルシステムポリシーの例を表示するには、「Amazon EFS のリソースベースのポリシーの例」を参照してください。
