Bloqueio do acesso público aos sistemas de EFS arquivos - Amazon Elastic File System
Bloquear o acesso público com AWS Transfer FamilyO significado de "público"

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Bloqueio do acesso público aos sistemas de EFS arquivos

O recurso de EFS bloqueio de acesso público da Amazon fornece configurações para ajudar você a gerenciar o acesso público aos sistemas de EFS arquivos. Por padrão, novos sistemas de EFS arquivos não permitem acesso público. No entanto, o sistema de arquivos pode ser modificado para permitir acesso público.

Importante

Habilitar o bloqueio do acesso público ajuda a proteger seus recursos, impedindo que o acesso público seja concedido por meio das políticas de recursos que estão diretamente vinculadas ao sistema de arquivos. Além de habilitar o Bloqueio de Acesso Público, inspecione cuidadosamente as seguintes políticas para garantir que elas não concedam acesso público:

  • Políticas baseadas em identidade vinculadas aos AWS diretores associados (por exemplo, funções) IAM

  • Políticas baseadas em recursos anexadas aos AWS recursos associados (por exemplo, chaves AWS Key Management Service (KMS))

Bloquear o acesso público com AWS Transfer Family

Quando você usa a Amazon EFS com AWS Transfer Family, as solicitações de acesso ao sistema de arquivos recebidas de um servidor Transfer Family que pertence a uma conta diferente da do sistema de arquivos são bloqueadas se o sistema de arquivos permitir acesso público. A Amazon EFS avalia as IAM políticas do sistema de arquivos e, se a política for pública, bloqueia a solicitação. Para permitir o AWS Transfer Family acesso ao seu sistema de arquivos, atualize a política do sistema de arquivos para que ela não seja considerada pública.

nota

O uso do Transfer Family com a Amazon EFS está desativado por padrão para Conta da AWS aqueles que têm sistemas de EFS arquivos com políticas que permitem acesso público que foram criados antes de 6 de janeiro de 2021. Para ativar o uso do Transfer Family para acessar seu sistema de arquivos, entre em contato com o AWS Support.

O significado de "público"

Ao avaliar se um sistema de arquivos permite acesso público, a Amazon EFS presume que a política do sistema de arquivos é pública. Em seguida, ele avalia a política para determinar se ela se qualifica como não pública. Para ser considerada não pública, uma política de bucket só deve conceder acesso a valores fixos (valores que não contenham um curinga) de um ou mais dos seguintes:

  • Um conjunto de roteamentos entre domínios sem classe (CIDRs), usando. aws:SourceIp Para obter mais informações sobreCIDR, consulte RFC4632 no site do RFC Editor.

  • Um AWS diretor, usuário, função ou diretor de serviço (por exemplo,aws:PrincipalOrgID)

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

De acordo com essas regras, o exemplo de política a seguir é considerado público.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

Você pode tornar essa política do sistema de arquivos não pública usando a chave de EFS condição elasticfilesystem:AccessedViaMountTarget definida como verdadeira. Você pode usar elasticfilesystem:AccessedViaMountTarget para permitir as EFS ações especificadas aos clientes que acessam o sistema de EFS arquivos usando um destino de montagem do sistema de arquivos. A política não pública a seguir usa a chave de condição elasticfilesystem:AccessedViaMountTarget definida como verdadeira.

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

Para obter mais informações sobre as chaves de EFS condição da Amazon, consulteEFSchaves de condição para clientes. Para obter mais informações sobre criar políticas para sistema de arquivos, consulte Criar políticas de sistema de arquivos.