As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas baseadas em recursos para a Amazon EFSAmazon EFS
Nesta seção, você pode encontrar exemplos de políticas de sistema de arquivos que concedem ou negam permissões para várias EFS ações da Amazon. As políticas EFS do sistema de arquivos da Amazon têm um limite de 20.000 caracteres. Para obter informações sobre os elementos de uma política baseada em recurso, consulte Políticas baseadas em recursos na Amazon EFS.
Importante
Se você conceder permissão a um IAM usuário ou função individual em uma política de sistema de arquivos, não exclua nem recrie esse usuário ou função enquanto a política estiver em vigor no sistema de arquivos. Se isso acontecer, esse usuário ou essa função será efetivamente bloqueado do sistema de arquivos e não poderá acessá-lo. Para obter mais informações, consulte Especificando um diretor no Guia do IAM usuário.
Para obter informações sobre como criar uma política de sistema de arquivos, consulte Criar políticas de sistema de arquivos.
Tópicos
Exemplo: conceder acesso de leitura e gravação a uma AWS função específica
Neste exemplo, a política do sistema de EFS arquivos tem as seguintes características:
-
O efeito é
Allow. -
A entidade principal é definida como Testing_Role no Conta da AWS.
-
A ação está definida como
ClientMount(leitura), eClientWrite. -
A condição para conceder permissões está definida como
AccessedViaMountTarget.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
Exemplo: conceder acesso somente leitura
A política de sistema de arquivos a seguir concede somente permissõesClientMount, ou somente de leitura, para a EfsReadOnly IAM função.
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
Para saber como definir políticas adicionais do sistema de arquivos, incluindo negar acesso root a todos IAM os principais, exceto a uma estação de trabalho de gerenciamento específica, consulte. Habilite o root squashing usando IAM autorização para clientes NFS
Exemplo: conceder acesso a um ponto de EFS acesso
Você usa uma política de EFS acesso para fornecer ao NFS cliente uma visão específica do aplicativo em conjuntos de dados compartilhados baseados em arquivos em um sistema de arquivos. EFS Conceda ao ponto de acesso permissões para o sistema de arquivos usando uma política de sistema de arquivos.
Este exemplo de política de arquivo usa um elemento condicional para conceder um ponto de acesso específico que é identificado por seu acesso ARN total ao sistema de arquivos.
Para obter mais informações sobre o uso de pontos de EFS acesso, consulteTrabalhando com pontos de EFS acesso da Amazon.
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }
