本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建文件系统策略
您可以使用 Amazon EFS 控制台或使用创建文件系统策略 AWS CLI。您也可以EFSAPI直接使用 AWS SDKs或 Amazon,以编程方式创建文件系统策略。EFS文件系统策略限制为 20,000 个字符。有关使用EFS文件系统策略的更多信息和示例,请参阅IAM使用控制文件系统数据访问权限。
注意
Amazon EFS 文件系统策略更改可能需要几分钟才能生效。
打开 Amazon Elastic File System 控制台,网址为https://console.aws.amazon.com/efs/
。 -
选择 File Systems (文件系统)。
-
在 File systems(文件系统)页面上,选择要为其编辑或创建文件系统策略的文件系统。
-
选择文件系统策略,然后选择编辑。
-
在策略选项中,可以选择预配置文件系统策略的任意组合:
-
默认情况下阻止 root 访问权限-此选项将
ClientRootAccess从允许的EFS操作集中删除。 -
默认情况下强制执行只读访问权限-此选项将
ClientWriteAccess从允许的EFS操作集中删除。 -
防止匿名访问-此选项将
ClientMount从允许的EFS操作集中删除。 -
对所有客户端强制执行传输中加密 – 此选项拒绝访问未加密的客户端。
当您选择预配置的策略时,策略JSON对象将显示在策略编辑器窗格中。
-
-
使用授予其他权限向其他委托人(包括其他IAM AWS 账户委托人)授予文件系统权限。选择 “添加”,然后输入您要向其授予权限的实体的委托ARN人。然后选择要授予的权限。其他权限将显示在策略编辑器中。
-
可以使用策略编辑器自定义预配置策略或创建自己的文件系统策略。使用编辑器时,预配置策略选项将不可用。要清除当前文件系统策略并开始创建新策略,请选择清除。
清除编辑器后,预配置策略将再次可用。
-
编辑完策略后,选择保存。
在以下示例中,该put-file-system-policyCLI命令创建了一个文件系统策略,该策略允许对EFS文件系统进行指定的 AWS 账户 只读访问权限。等效的API命令是PutFileSystemPolicy。
aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{ "Id": "1", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount" ], "Principal": { "AWS": "arn:aws:iam::111122223333:root" } } ] }'
{ "FileSystemId": "fs-01234567", "Policy": "{ "Version" : "2012-10-17", "Id" : "1", "Statement" : [ { "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "elasticfilesystem:ClientMount" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567" } ] } }
