AWS 适用于亚马逊的托管政策 EFS - Amazon Elastic File System
AmazonElasticFileSystemFullAccessAmazonElasticFileSystemReadOnlyAccessAmazonElasticFileSystemClientReadWriteAccess策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 适用于亚马逊的托管政策 EFS

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 当新服务启动或现有服务 AWS 服务 有新API操作可用时,最有可能更新 AWS 托管策略。

有关更多信息,请参阅《IAM用户指南》中的AWS 托管策略

AWS 托管策略: AmazonElasticFileSystemFullAccess

您可以将AmazonElasticFileSystemFullAccess策略附加到您的IAM身份。

此政策授予管理权限,允许用户完全访问亚马逊EFS并通过访问相关 AWS 服务 AWS Management Console。

权限详细信息

该策略包含以下权限。

  • elasticfilesystem— 允许委托人在 Amazon EFS 控制台中执行所有操作。它还允许委托人使用 AWS Backup创建 (elasticfilesystem:Backup) 和恢复 (elasticfilesystem:Restore) 备份。

  • cloudwatch— 允许委托人描述亚马逊 CloudWatch 文件系统指标以及亚马逊EFS控制台中某个指标的警报。

  • ec2— 允许委托人在 Amazon 控制台中创建、删除和描述网络接口,描述和修改网络接口属性,描述可用区、安全组、子网、虚拟私有云 (VPCs) 以及与 Amazon EFS 文件系统关联的VPC属性。EFS

  • kms— 允许委托人列出 AWS Key Management Service (AWS KMS) 密钥的别名并在 Ama EFS zon 控制台中描述KMS密钥。

  • iam— 授予创建服务关联角色的权限,该角色允许 Amazon EFS 代表用户管理 AWS 资源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:GetMetricData",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute",
                "elasticfilesystem:Backup",
                "elasticfilesystem:CreateFileSystem",
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:CreateTags",
                "elasticfilesystem:CreateAccessPoint",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget",
                "elasticfilesystem:DeleteTags",
                "elasticfilesystem:DeleteAccessPoint",
                "elasticfilesystem:DeleteFileSystemPolicy",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:DescribeAccountPreferences",
                "elasticfilesystem:DescribeBackupPolicy",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeFileSystemPolicy",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeMountTargetSecurityGroups",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DescribeTags",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:ModifyMountTargetSecurityGroups",
                "elasticfilesystem:PutAccountPreferences",
                "elasticfilesystem:PutBackupPolicy",
                "elasticfilesystem:PutLifecycleConfiguration",
                "elasticfilesystem:PutFileSystemPolicy",
                "elasticfilesystem:UpdateFileSystem",
                "elasticfilesystem:UpdateFileSystemProtection",
                "elasticfilesystem:TagResource",
                "elasticfilesystem:UntagResource",
                "elasticfilesystem:ListTagsForResource",                
                "elasticfilesystem:Restore",
                "kms:DescribeKey",
                "kms:ListAliases"
            ],

            "Sid": "ElasticFileSystemFullAccess",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Sid": "CreateServiceLinkedRoleForEFS",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "elasticfilesystem.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AWS 托管策略: AmazonElasticFileSystemReadOnlyAccess

您可以将AmazonElasticFileSystemReadOnlyAccess策略附加到您的IAM身份。

此政策授予EFS通过 Amazon 的只读访问权限 AWS Management Console。

权限详细信息

该策略包含以下权限。

  • elasticfilesystem— 允许委托人在 Amazon EFS 控制台中描述亚马逊EFS文件系统的属性,包括账户首选项、备份和文件系统策略、生命周期配置、挂载目标及其安全组、标签和访问点。

  • cloudwatch— 允许委托人在 Amazon EFS 控制台中检索 CloudWatch 指标并描述指标警报。

  • ec2— 允许委托人在 Ama EFS zon 控制台中查看可用区、网络接口及其属性、安全组、子网VPCs及其属性。

  • kms— 允许委托人在 Ama EFS zon 控制台中列出 AWS KMS 密钥的别名。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ElasticFileSystemReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:GetMetricData",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcs",
                "elasticfilesystem:DescribeAccountPreferences",
                "elasticfilesystem:DescribeBackupPolicy",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeFileSystemPolicy",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeMountTargetSecurityGroups",                
                "elasticfilesystem:DescribeTags",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:ListTagsForResource",
                "kms:ListAliases"
            ],
            
            "Resource": "*"
        }
    ]
}

AWS 托管策略: AmazonElasticFileSystemClientReadWriteAccess

您可以将AmazonElasticFileSystemClientReadWriteAccess策略附加到实IAM体。

此政策授予客户端对 Amazon EFS 文件系统的读写权限。此策略允许NFS客户端装载、读取和写入 Amazon EFS 文件系统。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        }
    ]
}

亚马逊EFS更新了托 AWS 管政策

查看EFS自该服务开始跟踪这些变更以来亚马逊 AWS 托管政策更新的详细信息。要获取有关此页面变更的自动提醒,请在 Amazon EFS 文档历史记录 页面上订阅 RSS Feed。

更改 描述 日期

更新现有策略

 政策:AmazonElasticFileSystemReadOnlyAccess

Amazon 在政策声明中EFS添加了Sid(声明编号)元素。Sid 值为 ElasticFileSystemReadOnlyAccess

 2024 年 8 月 7 日

更新现有策略

 政策:AmazonElasticFileSystemFullAccess

Amazon EFS 添加了一项新权限,允许委托人禁用和启用文件系统的保护。需要这些权限才能允许 Amazon 复制EFS到现有文件系统。

 2023 年 11 月 27 日

更新现有策略

政策:AmazonElasticFileSystemServiceRolePolicy

亚马逊EFS增加了新的权限,允许委托人创建、描述和删除亚马逊EFS副本以及创建亚马逊EFS文件系统。需要这些权限才能允许 Amazon EFS 代表用户管理文件系统复制配置。

 2022 年 1 月 25 日

更新现有策略

政策:AmazonElasticFileSystemReadOnlyAccess

亚马逊EFS添加了一项新权限,允许委托人描述亚马逊的EFS复制。需要这些权限才能允许用户查看文件系统复制配置。

 2022 年 1 月 25 日
更新现有策略

政策:AmazonElasticFileSystemFullAccess

亚马逊EFS增加了新的权限,允许委托人创建、描述和删除亚马逊EFS副本。需要这些权限才能允许用户管理文件系统复制配置。

 2022 年 1 月 25 日

已开启跟踪策略

政策:AmazonElasticFileSystemClientReadWriteAccess

向NFS客户授予对 Amazon EFS 文件系统的读写权限。

 2022 年 1 月 3 日

已开启跟踪策略

 政策:AmazonElasticFileSystemServiceRolePolicy

Amazon EFS 的服务相关角色权限。

2021 年 10 月 8 日

更新现有策略

政策:AmazonElasticFileSystemFullAccess

亚马逊EFS增加了新的权限,允许委托人修改和描述亚马逊EFS账户偏好。用户需要这些权限才能在亚马逊EFS控制台中查看和设置账户偏好设置。

 2021 年 5 月 7 日

对现有策略的更新

政策:AmazonElasticFileSystemReadOnlyAccess

亚马逊EFS增加了新的权限,允许委托人描述亚马逊EFS账户偏好。需要这些权限才能允许用户在 Amazon EFS 控制台中查看账户偏好设置。

 2021 年 5 月 7 日

亚马逊EFS开始追踪变更

亚马逊EFS开始跟踪其 AWS 托管政策的变更。

 2021 年 5 月 7 日