Amazon 基于资源的政策示例 EFSAmazon EFS - Amazon Elastic File System

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 基于资源的政策示例 EFSAmazon EFS

在本节中,您可以找到授予或拒绝各种 Amazon EFS 操作权限的文件系统策略示例。亚马逊EFS文件系统策略限制为 20,000 个字符。有关基于资源的策略的元素的信息,请参阅Amazon 内部基于资源的政策 EFS

重要

如果您向文件系统策略中的单个IAM用户或角色授予权限,则在该策略对文件系统生效期间,请勿删除或重新创建该用户或角色。如果这样做,该用户或角色将实际在文件系统中锁定,并且将无法访问该用户或角色。有关更多信息,请参阅IAM用户指南中的指定委托人

有关如何创建系统策略的信息,请参阅创建文件系统策略

示例:向特定 AWS 角色授予读写权限

在此示例中,EFS文件系统策略具有以下特征:

  • 效果是 Allow

  • AWS 账户中的主体设置为 Testing_Role。

  • 操作设置为 ClientMount(读取)和 ClientWrite

  • 授予权限的条件设置为 AccessedViaMountTarget

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }

示例:授予只读访问权限

以下文件系统策略仅向该 EfsReadOnly IAM角色授ClientMount予或只读权限。

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

要了解如何设置其他文件系统策略,包括拒绝除特定管理工作站之外的所有IAM主体 root 访问权限,请参阅使用客户端IAM授权启用 root 压缩 NFS

示例:授予访问接入点的EFS访问权限

您可以使用EFS访问策略为NFS客户端提供文件系统上基于共享文件的数据集的应用程序特定视图。EFS您可以使用文件系统策略向访问点授予对文件系统的权限。

此文件策略示例使用条件元素授予特定的访问点,该访问点通过其对文件系统的ARN完全访问权限来标识。

有关使用EFS接入点的更多信息,请参阅使用 Amazon EFS 接入点

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }