使用 IAM 控制文件系统数据访问
您可以使用 IAM 身份策略和资源策略,以针对云环境可扩展和优化的方式控制客户端对 Amazon EFS 资源的访问。通过使用 IAM,您可以允许客户端对文件系统执行特定操作,包括只读、写入和根访问。对 IAM 身份策略或文件系统资源策略中的操作的“允许”权限允许访问该操作。无需在身份策略和资源策略中同时授予此权限。
NFS 客户端可以在连接到 EFS 文件系统时使用 IAM 角色标识自己。当客户端连接到文件系统时,Amazon EFS 会评估文件系统的 IAM 资源策略(称为文件系统策略)以及任何基于身份的 IAM 策略,以确定要授予的相应文件系统访问权限。
当您对 NFS 客户端使用 IAM 授权时,客户端连接和 IAM 授权决策将记录到 AWS CloudTrail。有关如何使用 CloudTrail 记录 Amazon EFS API 调用的更多信息,请参阅使用 AWS CloudTrail 记录 Amazon EFS API 调用。
重要
须必使用 EFS 挂载帮助程序挂载 Amazon EFS 文件系统,从而使用 IAM 授权来控制客户端的访问。有关更多信息,请参阅 使用 IAM 授权挂载。
默认 EFS 文件系统策略
默认 EFS 文件系统策略不使用 IAM 进行身份验证,它向可以使用挂载目标连接到文件系统的任何匿名客户端授予完全访问权限。每当用户配置的文件系统策略不生效时(包括在创建文件系统时),默认策略将生效。每当默认文件系统策略生效时,DescribeFileSystemPolicy API 操作都会返回 PolicyNotFound 响应。
客户端的 EFS 操作
您可以为使用文件系统策略访问文件系统的客户端指定以下操作。
| 操作 | 描述 |
|---|---|
|
|
提供对文件系统的只读访问权限。 |
|
|
提供对文件系统的写入权限。 |
|
|
提供在访问文件系统时使用根用户的权限。 |
客户端的 EFS 条件键
要表示条件,您可以使用预定义的条件键。Amazon EFS 为 NFS 客户端提供了以下预定义的条件键。使用 IAM 控制来保护对 EFS 文件系统的访问时,不会强制执行任何其他条件键。
| EFS 条件键 | 描述 | 运算符 |
|---|---|---|
aws:SecureTransport |
使用此键可要求客户端在连接到 EFS 文件系统时使用 TLS。 |
布尔值 |
aws:SourceIp |
访问 EFS 文件系统的客户端的私有 IP 地址。 | String |
elasticfilesystem:AccessPointArn |
客户端正在连接到的 EFS 接入点的 ARN。 | String |
elasticfilesystem:AccessedViaMountTarget |
使用此键可防止未使用文件系统挂载目标的客户机访问 EFS 文件系统。 | 布尔值 |
文件系统策略示例
要查看 Amazon EFS 文件系统策略的示例,请参阅适用于 Amazon EFS 的基于资源的策略示例。
