Usuários, grupos e permissões no nível do Sistema de Arquivos de Rede (NFS) - Amazon Elastic File System
Exemplo de casos de uso e permissões do sistema de EFS arquivos da AmazonPermissões de ID de usuário e grupo para arquivos e diretórios em um sistema de arquivosSem extermínio de raizCache de permissõesAlteração da propriedade do objeto do sistema de arquivoEFSpontos de acesso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usuários, grupos e permissões no nível do Sistema de Arquivos de Rede (NFS)

Depois de criar um sistema de arquivos, por padrão, somente o usuário root (UID0) tem permissões de leitura, gravação e execução. Para os outros usuários modificarem o sistema de arquivos, o usuário raiz deve conceder explicitamente acesso a eles. É possível usar pontos de acesso para automatizar a criação de diretórios dos quais um usuário que não seja raiz pode gravar. Para obter mais informações, consulte Trabalhando com pontos de EFS acesso da Amazon.

Os objetos EFS do sistema de arquivos da Amazon têm um modo no estilo UNIX associado a eles. Esse valor de modo define as permissões para executar ações nesse objeto. Usuários familiarizados com sistemas no estilo UNIX podem entender facilmente como a Amazon EFS se comporta com relação a essas permissões.

Além disso, em sistemas no estilo UNIX, usuários e grupos são mapeados para identificadores numéricos, que a EFS Amazon usa para representar a propriedade do arquivo. Para a AmazonEFS, os objetos do sistema de arquivos (ou seja, arquivos, diretórios etc.) pertencem a um único proprietário e a um único grupo. A Amazon EFS usa o numérico mapeado IDs para verificar as permissões quando um usuário tenta acessar um objeto do sistema de arquivos.

nota

O NFS protocolo suporta no máximo 16 grupos IDs (GIDs) por usuário e quaisquer outros GIDs são truncados das solicitações do NFS cliente. Para obter mais informações, consulte Acesso negado aos arquivos permitidos no sistema NFS de arquivos.

A seguir, você encontrará exemplos de permissões e uma discussão sobre considerações sobre NFS permissões para a AmazonEFS.

Tópicos

Exemplo de casos de uso e permissões do sistema de EFS arquivos da Amazon

Depois de criar um sistema de EFS arquivos da Amazon e montar destinos para o sistema de arquivos no seuVPC, você pode montar o sistema de arquivos remoto localmente na sua EC2 instância da Amazon. O comando mount pode montar qualquer diretório no sistema de arquivos. No entanto, ao criar o sistema de arquivos pela primeira vez, em /, existe apenas um diretório raiz. O usuário raiz e o grupo raiz possuem o diretório montado.

O mount comando a seguir monta o diretório raiz de um sistema de EFS arquivos da Amazon, identificado pelo DNS nome do sistema de arquivos, no diretório /efs-mount-point local.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

O modo inicial de permissões concede:

  • read-write-execute permissões para o proprietário raiz

  • read-execute permissões para o grupo raiz

  • read-execute permissões para outras pessoas

Apenas o usuário raiz pode modificar esse diretório. O usuário raiz também pode conceder a outros usuários permissões para gravar nesse diretório, por exemplo:

  • Criar subdiretórios graváveis por usuário. Para step-by-step obter instruções, consulteTutorial: Criação de subdiretórios graváveis por usuário.

  • Permita que os usuários gravem na raiz do sistema de EFS arquivos da Amazon. Um usuário com privilégios de raiz pode conceder acesso ao sistema de arquivos a outros usuários.

    • Para alterar a propriedade do sistema de EFS arquivos da Amazon para um usuário e grupo não raiz, use o seguinte:

      $ sudo chown user:group /EFSroot

    • Para alterar as permissões do sistema de arquivos para algo mais tolerante, use o seguinte:

      $ sudo chmod 777 /EFSroot

      Esse comando concede read-write-execute privilégios a todos os usuários em todas as EC2 instâncias que têm o sistema de arquivos montado.

Permissões de ID de usuário e grupo para arquivos e diretórios em um sistema de arquivos

Os arquivos e diretórios em um sistema de EFS arquivos da Amazon oferecem suporte a permissões padrão de leitura, gravação e execução no estilo UNIX com base no ID do usuário e no grupo. IDs Quando um NFS cliente monta um sistema de EFS arquivos sem usar um ponto de acesso, o ID do usuário e o ID do grupo fornecidos pelo cliente são confiáveis. Você pode usar pontos de EFS acesso para substituir o ID de usuário e o grupo IDs usados pelo NFS cliente. Quando os usuários tentam acessar arquivos e diretórios, a Amazon EFS verifica seu usuário IDs e grupo IDs para verificar se cada usuário tem permissão para acessar os objetos. A Amazon EFS também os usa IDs para indicar o proprietário e o proprietário do grupo para novos arquivos e diretórios criados pelo usuário. A Amazon EFS não examina nomes de usuários ou grupos — ela usa apenas os identificadores numéricos.

nota

Ao criar um usuário em uma EC2 instância, você pode atribuir qualquer ID numérica de usuário (UID) e ID de grupo (GID) ao usuário. O usuário numérico IDs é definido no /etc/passwd arquivo nos sistemas Linux. O grupo numérico IDs está no /etc/group arquivo. Esses arquivos definem os mapeamentos entre nomes e. IDs Fora da EC2 instância, a Amazon EFS não realiza nenhuma autenticação dessasIDs, incluindo o ID raiz de 0.

Se um usuário acessar um sistema de EFS arquivos da Amazon a partir de duas EC2 instâncias diferentes, dependendo se a opção UID para o usuário é a mesma ou diferente nessas instâncias, você verá um comportamento diferente, da seguinte forma:

  • Se o usuário IDs for o mesmo nas duas EC2 instâncias, a Amazon EFS considera que eles indicam o mesmo usuário, independentemente da EC2 instância usada. A experiência do usuário ao acessar o sistema de arquivos é a mesma nas duas EC2 instâncias.

  • Se o usuário IDs não for o mesmo nas duas EC2 instâncias, a Amazon EFS considera que os usuários são usuários diferentes. A experiência do usuário não é a mesma ao acessar o sistema de EFS arquivos da Amazon a partir de duas EC2 instâncias diferentes.

  • Se dois usuários diferentes em EC2 instâncias diferentes compartilharem um ID, a Amazon EFS considerará que eles são o mesmo usuário.

Você pode considerar gerenciar mapeamentos de ID de usuário em todas as EC2 instâncias de forma consistente. Os usuários podem verificar o ID número deles usando o comando id.

$ id 

uid=502(joe) gid=502(joe) groups=502(joe)

Desativar o ID Mapper

Os NFS utilitários do sistema operacional incluem um daemon chamado mapeador de ID que gerencia o mapeamento entre nomes de usuário e. IDs No Amazon Linux, o daemon é chamado rpc.idmapd e no Ubuntu é chamado idmapd. Ele traduz usuário e grupo IDs em nomes e vice-versa. No entanto, a Amazon EFS lida apenas com números. IDs Recomendamos que você desative esse processo em suas EC2 instâncias. No Amazon Linux, o mapeador de ID normalmente é desativado, nesse casso, não o ative. Para desativar o mapeador de ID, use os comandos a seguir.

$  service rpcidmapd status
$  sudo service rpcidmapd stop

Sem extermínio de raiz

Por padrão, o root squashing está desativado nos sistemas de EFS arquivos. A Amazon EFS se comporta como um NFS servidor Linux com. no_root_squash Se um ID de usuário ou grupo for 0, a Amazon EFS tratará esse usuário como usuário e ignorará as verificações de permissões (permitindo acesso e modificação a todos os objetos do sistema de arquivos). root O root squashing pode ser ativado em uma conexão de cliente quando a política de identidade ou recurso AWS Identity and Access Management (AWS IAM) não permite acesso à ClientRootAccess ação. Quando o root squashing está ativado, o usuário root é convertido em um usuário com permissões limitadas no NFS servidor.

Para obter mais informações, consulte Usando IAM para controlar o acesso aos dados do sistema de arquivos.

Habilite o root squashing usando IAM autorização para clientes NFS

Você pode configurar EFS a Amazon para impedir o acesso root ao seu sistema de EFS arquivos da Amazon para todos os AWS diretores, exceto para uma única estação de trabalho de gerenciamento. Você faz isso configurando a autorização AWS Identity and Access Management (IAM) para clientes do Network File System (NFS).

Para fazer isso, é necessário configurar duas políticas de IAM permissões, da seguinte forma:

  • Crie uma política de sistema de EFS arquivos que permita explicitamente o acesso de leitura e gravação ao sistema de arquivos e negue implicitamente o acesso raiz.

  • Atribua uma IAM identidade à estação EC2 de trabalho de gerenciamento da Amazon que exija acesso root ao sistema de arquivos usando um perfil de EC2 instância da Amazon. Para obter mais informações sobre perfis de EC2 instância da Amazon, consulte Como usar perfis de instância no Guia AWS Identity and Access Management do usuário.

  • Atribua a política AmazonElasticFileSystemClientFullAccess AWS gerenciada à IAM função da estação de trabalho de gerenciamento. Para obter mais informações sobre políticas AWS gerenciadas paraEFS, consulteGerenciamento de identidade e acesso para a Amazon EFS.

Para habilitar o root squashing usando IAM autorização para NFS clientes, use os procedimentos a seguir.

Como impedir o acesso raiz ao sistema de arquivos

  1. Abra o console do Amazon Elastic File System em https://console.aws.amazon.com/efs/.

  2. Escolha Sistemas de arquivos.

  3. Escolha o sistema de arquivos no qual você deseja ativar o root squashing.

  4. Na página de detalhes do sistema de arquivos, escolha Política do sistema de arquivos e, em seguida, escolha Editar. A página File system policy (Política de sistema de arquivos) é exibida.

  5. Escolha Impedir acesso raiz por padrão* em Opções de política. O JSON objeto de política aparece no editor de políticas.

  6. Escolha Save (Salvar) para salvar a política de sistema de arquivos.

Clientes não anônimos podem obter acesso raiz ao sistema de arquivos por meio de uma política baseada em identidade. Quando você anexa a política AmazonElasticFileSystemClientFullAccess gerenciada à função da estação de trabalho, IAM concede acesso root à estação de trabalho com base em sua política de identidade.

Como habilitar o acesso raiz da estação de trabalho de gerenciamento

  1. Abra o IAM console em https://console.aws.amazon.com/iam/.

  2. Crie uma função para a Amazon EC2 chamadaEFS-client-root-access. IAMcria um perfil de instância com o mesmo nome da EC2 função que você criou.

  3. Atribua a política AWS gerenciada AmazonElasticFileSystemClientFullAccess à EC2 função que você criou. O conteúdo dessa política é mostrado a seguir.

    {
    "Version”: "2012-10-17",
    "Statement": [
     {
         "Effect": "Allow",
         "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientRootAccess",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:DescribeMountTargets"
         ],
         "Resource": "*"
     }
 ]
}

  4. Anexe o perfil da instância à EC2 instância que você está usando como estação de trabalho de gerenciamento, conforme descrito a seguir. Para obter mais informações, consulte Como anexar uma IAM função a uma instância no Guia do EC2 usuário da Amazon para instâncias Linux.

    1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

    2. No painel de navegação, escolha Instances (Instâncias).

    3. Escolha a instância. Em Ações, escolha Configurações da instância e, em seguida, escolha Anexar/substituir função IAM.

    4. Escolha a IAM função que você criou na primeira etapa e escolha Aplicar. EFS-client-root-access

  5. Instale o auxiliar de EFS montagem na estação de trabalho de gerenciamento. Para obter mais informações sobre o auxiliar de EFS montagem e o amazon-efs-utils pacote, consulteInstalando o EFS cliente Amazon.

  6. Monte o sistema de EFS arquivos na estação de trabalho de gerenciamento usando o comando a seguir com a opção de iam montagem.

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Você pode configurar a EC2 instância da Amazon para montar automaticamente o sistema de arquivos com IAM autorização. Para obter mais informações sobre como montar um sistema de EFS arquivos com IAM autorização, consulteMontagem com IAM autorização.

Cache de permissões

A Amazon armazena em EFS cache as permissões de arquivos por um pequeno período de tempo. Como resultado, poderá haver uma breve janela em que um usuário que tinha acesso a um objeto do sistema de arquivos teve o acesso revogado recentemente, mas ainda pode acessar o objeto em questão.

Alteração da propriedade do objeto do sistema de arquivo

A Amazon EFS impõe o POSIX chown_restricted atributo. Isto significa que apenas o usuário raiz pode alterar o proprietário do objeto de um sistema de arquivos. O usuário raiz ou proprietário pode alterar o grupo proprietário de um objeto do sistema de arquivos. No entanto, a menos que o usuário seja raiz, o grupo só poderá ser alterado para um em que o usuário proprietário seja um membro.

EFSpontos de acesso

Um ponto de acesso aplica um usuário, um grupo e um caminho de sistema de arquivos do sistema operacional a qualquer solicitação do sistema de arquivos feita usando o ponto de acesso. O usuário e o grupo do sistema operacional do ponto de acesso substituem qualquer informação de identidade fornecida pelo NFS cliente. O caminho do sistema de arquivos é exposto ao cliente como diretório raiz do ponto de acesso. Essa abordagem garante que cada aplicativo sempre use a identidade correta do sistema operacional e o diretório correto ao acessar conjuntos de dados compartilhados baseados em arquivo. As aplicações que usam o ponto de acesso só podem acessar dados em seu próprio diretório e abaixo dele. Para obter mais informações sobre pontos de acesso, consulte Trabalhando com pontos de EFS acesso da Amazon.