As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando o IAM para controlar o acesso aos dados do sistema de arquivos
Você pode usar políticas de identidade e políticas de recursos do IAM para controlar o acesso do cliente aos recursos do Amazon EFS de maneira escalável e otimizada para ambientes de nuvem. Usando o IAM, você pode permitir que os clientes executem ações específicas em um sistema de arquivos, incluindo acesso raiz, somente leitura e gravação. Uma permissão em uma ação em uma política de identidade do IAM ou em uma política de recursos do sistema de arquivos permite acesso para essa ação. A permissão não precisa ser concedida tanto em uma política de identidade quanto em uma política de recursos.
Os clientes NFS podem se identificar usando uma função do IAM ao se conectar a um sistema de arquivos EFS. Quando um cliente se conecta a um sistema de arquivos, o Amazon EFS avalia a política de recursos do IAM do sistema de arquivos, que é chamada de política do sistema de arquivos, juntamente com quaisquer políticas do IAM baseadas em identidade para determinar as permissões de acesso apropriadas ao sistema de arquivos a serem concedidas.
Ao usar a autorização do IAM para clientes NFS, conexões de cliente e decisões de autorização do IAM são registradas em log no AWS CloudTrail. Para obter mais informações sobre como registrar chamadas de API do Amazon EFS com CloudTrail, consulteRegistro de chamadas de API do Amazon EFS com AWS CloudTrail.
Importante
Você deve usar o assistente de montagem do EFS para montar seus sistemas de arquivos do Amazon EFS e usar a autorização do IAM para controlar o acesso do cliente. Para ter mais informações, consulte Montar com autorização do IAM.
Política de sistema de arquivos padrão do EFS
A política padrão do sistema de arquivos EFS não usa IAM para autenticação e concede acesso total a qualquer cliente anônimo que possa se conectar ao sistema de arquivos usando um destino de montagem. A política padrão estará em vigor sempre que uma política de sistema de arquivos configurada pelo usuário não estiver em vigor, inclusive na criação do sistema de arquivos. Sempre que a política de sistema de arquivos padrão estiver em vigor, uma operação de API DescribeFileSystemPolicy retornará uma resposta PolicyNotFound.
Ações do EFS para clientes NFS
É possível especificar as ações a seguir para clientes NFS em um sistema de arquivos usando uma política de sistema de arquivos.
| Ação | Descrição |
|---|---|
|
|
Fornece acesso somente leitura a um sistema de arquivos para um cliente NFS. |
|
|
Fornece permissões de gravação em um sistema de arquivos. |
|
|
Fornece o uso do usuário raiz ao acessar um sistema de arquivos. |
Chaves de condição do EFS para clientes NFS
Para expressar condições, você usa chaves de condição predefinidas. O Amazon EFS tem as seguintes chaves de condição predefinidas para clientes NFS. Qualquer outra chave de condição não é aplicada ao usar controles do IAM para proteger o acesso aos sistemas de arquivos EFS.
| Chave de condição do EFS | Descrição | Operador |
|---|---|---|
aws:SecureTransport |
Use esta chave para exigir que os clientes NFS usem TLS ao se conectar a um sistema de arquivos do EFS. |
Booleano |
aws:SourceIp |
Endereço IP privado do cliente que está acessando um sistema de arquivos EFS. | String |
elasticfilesystem:AccessPointArn |
ARN do ponto de acesso do EFS ao qual o cliente está se conectando. | String |
elasticfilesystem:AccessedViaMountTarget |
Use essa chave para impedir o acesso a um sistema de arquivos EFS por clientes que não estão usando destinos de montagem do sistema de arquivos. | Booleano |
Exemplos de políticas de sistema de arquivos
Para ver exemplos das políticas do sistema de arquivos do Amazon EFS, consulte Exemplos de políticas baseadas em recursos para o Amazon Elastic File System.
