EFS파일 시스템에 대한 공개 액세스 차단 - Amazon Elastic File System
AWS Transfer Family로 퍼블릭 액세스 차단"퍼블릭"의 의미

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EFS파일 시스템에 대한 공개 액세스 차단

Amazon EFS 블록 퍼블릭 액세스 기능은 EFS 파일 시스템에 대한 퍼블릭 액세스를 관리하는 데 도움이 되는 설정을 제공합니다. 기본적으로 새 EFS 파일 시스템은 퍼블릭 액세스를 허용하지 않습니다. 그러나 퍼블릭 액세스를 허용하도록 파일 시스템 정책을 수정할 수 있습니다.

중요

퍼블릭 액세스 차단을 활성화하면 파일 시스템에 직접 연결된 리소스 정책을 통해 퍼블릭 액세스가 부여되지 않도록 하여 리소스를 보호하는 데 도움이 됩니다. 퍼블릭 액세스 차단을 활성화하는 것 외에도 다음 정책을 주의 깊게 검토하여 퍼블릭 액세스를 허용하지 않는지 확인하세요.

  • 관련 AWS 주체 (예: 역할) 에 연결된 ID 기반 정책 IAM

  • 관련 리소스에 연결된 AWS 리소스 기반 정책 (예: () 키)AWS Key Management Service KMS

AWS Transfer Family로 퍼블릭 액세스 차단

EFSAmazon과 함께 사용하는 경우 AWS Transfer Family, 파일 시스템이 퍼블릭 액세스를 허용하면 파일 시스템과 다른 계정이 소유한 Transfer Family 서버로부터 받은 파일 시스템 액세스 요청이 차단됩니다. Amazon은 파일 시스템의 IAM 정책을 EFS 평가하여 정책이 공개인 경우 요청을 차단합니다. 파일 시스템에 AWS Transfer Family 대한 액세스를 허용하려면 공개로 간주되지 않도록 파일 시스템 정책을 업데이트하십시오.

참고

2021년 1월 6일 이전에 생성된 공개 액세스를 허용하는 정책이 적용되는 EFS 파일 시스템을 보유한 사용자의 경우 Amazon에서 AWS 계정 Transfer Family를 사용하는 EFS 것은 기본적으로 비활성화되어 있습니다. Transfer Family를 사용하여 파일 시스템에 액세스할 수 있게 하려면 AWS Support에 문의하십시오.

"퍼블릭"의 의미

파일 시스템이 퍼블릭 액세스를 허용하는지 여부를 평가할 때 Amazon은 파일 시스템 정책을 퍼블릭으로 EFS 간주합니다. 그런 다음 정책을 평가하여 비공개로 판단할 수 있는지 결정합니다. 퍼블릭이 아닌 것으로 평가되려면 파일 시스템 정책은 다음 중 하나 이상의 고정 값(와일드카드가 없는 값)에만 액세스 권한을 부여해야 합니다.

  • 클래스 없는 도메인 간 라우팅 세트 ()CIDRs, 사용. aws:SourceIp 에 대한 자세한 내용은 에디터 CIDR 웹 사이트의 RFC4632를 참조하십시오. RFC

  • AWS 주체, 사용자, 역할 또는 서비스 주체 (예:) aws:PrincipalOrgID

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

이 규칙에서 다음 예제 정책은 퍼블릭으로 간주됩니다.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

true로 설정된 EFS 조건 키를 사용하여 이 파일 시스템 정책을 비공개로 elasticfilesystem:AccessedViaMountTarget 설정할 수 있습니다. 를 사용하면 파일 시스템 탑재 대상을 사용하여 EFS 파일 시스템에 액세스하는 클라이언트에 지정된 EFS 작업을 허용할 수 있습니다. elasticfilesystem:AccessedViaMountTarget 다음 비공개 정책은 true로 설정된 elasticfilesystem:AccessedViaMountTarget 조건 키를 사용합니다.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

Amazon EFS 조건 키에 대한 자세한 내용은 을 참조하십시오EFS 클라이언트의 조건 키. 파일 시스템 정책 만들기에 대한 자세한 내용은 파일 시스템 정책 생성 섹션을 참조하세요.