本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨 AWS 账户复制 EFS 文件系统
您可以跨复制 EFS 文件系统 AWS 账户。跨账户复制可增强灾难恢复 (DR) 策略的整体弹性和可靠性,并且可以帮助您满足公司的合规要求。
例如,合规性策略可能要求您在不同的环境(例如生产、暂存和灾难恢复 (DR))中使用不同的帐户。或者,您可能会发现,跨不同的复制可以 AWS 账户 提供更强的隔离、对权限和访问策略的更精细的控制,以及更直接的资源审计。如果生产帐户遭到入侵(例如安全漏洞、配置错误或内部威胁),则将灾难恢复服务器放在单独的帐户中可以防止攻击者访问它们,缩小安全事件的爆炸半径,并最大限度地降低未经授权的更改的风险。
跨复制 AWS 账户 需要额外的安全设置和策略设置。您必须在源账户上创建一个 IAM 角色,以授予 Amazon EFS 在目标账户中执行复制的权限。您还需要在要跨账户共享的文件系统上创建策略。创建 IAM 角色和文件系统策略后,您可以创建复制配置。
使用自定义信任策略创建 IAM 角色
为了让 Amazon EFS 代表源账户执行跨账户复制,必须在源账户上创建 IAM 角色。该角色必须具有elasticfilesystem.amazonaws.com信任策略,以允许 Amazon EFS 担任该角色并充当服务主体。该角色必须包含执行复制(请参阅所需的 IAM 权限)所需的所有 IAM 权限,并授予向目标账户中的文件系统进行复制的明确权限。
先决条件
您必须在复制配置中同时创建源文件系统和目标文件系统,然后才能为源账户创建 IAM 角色。您必须知道并提供每个文件系统的 ARN。
为跨账户复制创建 IAM 角色
以下是使用自定义信任策略创建 IAM 角色的一般步骤,用于使用 Amazon EFS 进行跨账户复制。有关创建 IAM 角色的 step-by-step说明,请参阅AWS Identity and Access Management 用户指南中的使用自定义信任策略创建角色。
在源账户的 AWS Identity and Access Management 控制台中,创建使用以下信任策略的 IAM 角色。有关说明,请参阅《Identity and Acc ess Managem AWS ent 用户指南》中的使用自定义信任策略创建角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticfilesystem.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }-
创建角色后,为该角色分配以下权限。
DESTINATION_FILE_SYSTEM_ARN替换为目标文件系统的 ARN,SOURCE_FILE_SYSTEM_ARN替换为源文件系统的 ARN。有关为角色分配权限的说明,请参阅使用 JSON 编辑器创建策略。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DeleteReplicationConfiguration", "elasticfilesystem:ReplicationWrite" ], "Resource": "DESTINATION_FILE_SYSTEM_ARN" }, { "Effect": "Allow", "Action": [ "elasticfilesystem:ReplicationRead", "elasticfilesystem:DescribeFileSystems" ], "Resource": "SOURCE_FILE_SYSTEM_ARN" } ] } 复制或写下 IAM 角色的 ARN。在创建复制配置时,您需要提供 ARN。
在源文件系统和目标文件系统上创建策略
要在 Amazon EFS 中跨账户共享文件系统,您必须为目标文件系统和源文件系统分配策略。这些策略授予或限制跨账户访问其所应用的文件系统。只有有权编辑文件系统的账户所有者才能在其账户中为文件系统分配策略。
注意
要跨越复制 AWS 账户,必须先创建目标文件系统和源文件系统。在复制过程中,Amazon EFS 无法为您创建目标文件系统。
目标文件系统的策略
要允许源帐户复制到目标文件系统并从目标帐户中删除复制配置,必须在目标文件系统上创建以下策略。SOURCE_ACCOUNT_ROOT替换为拥有源文件系统的帐户的 ID。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Permissions for source account calls", "Effect": "Allow", "Principal": { "AWS": "SOURCE_ACCOUNT_ROOT" }, "Action": [ "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DeleteReplicationConfiguration", "elasticfilesystem:ReplicationWrite" ], "Resource": "DESTINATION_FILE_SYSTEM_ARN" } ] }
源文件系统的策略
要允许目标帐户从源帐户中删除复制配置,必须将以下策略分配给源文件系统。DESTINATION_ACCOUNT_ROOT替换为拥有目标文件系统的帐户的 ID。
{ "Version": "2012-10-17", "Id": "efs-policy", "Statement": [ { "Sid": "Permission to delete the replication by the destination account", "Effect": "Allow", "Principal": { "AWS": "DESTINATION_ACCOUNT_ROOT" }, "Action": "elasticfilesystem:DeleteReplicationConfiguration", "Resource": "SOURCE_FILE_SYSTEM_ARN" } ] }
创建文件系统策略
使用上一节中的策略,对目标文件系统和源文件系统执行以下步骤。
-
AWS Management Console 使用拥有文件系统的账户登录,然后在上打开 Amazon EFS 控制台 https://console.aws.amazon.com/efs/
。 -
打开文件系统:
-
在左侧导航窗格中,选择文件系统。
-
在文件系统列表中,选择文件系统。
-
-
在文件系统策略选项卡上,选择编辑。
-
将策略粘贴到策略编辑器 {Json} 中,然后选择保存。
创建复制配置
创建 IAM 角色并将文件系统策略添加到源文件系统和目标文件系统后,请按照中的配置到现有 EFS 文件系统的复制说明创建复制配置。
