本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon 的安全 FSx
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性:
+ **云安全 — AWS 负责保护在** Amazon Web Services 云中运行 AWS 服务的基础设施。 AWS 还为您提供可以安全使用的服务。作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解 FSx 适用于亚马逊 Windows 文件服务器的合规计划,请参阅[按合规计划划分的范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
本文档可帮助您了解在使用 Amazon FSx for Windows 文件服务器时如何应用分担责任模型。以下主题向您展示如何配置 Amazon f FSx or Windows 文件服务器以满足您的安全与合规目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 Amazon f FSx or Windows 文件服务器资源。
**Topics**
+ [适用于 Windows File Server 的 Amazon FSx 中的数据保护](data-protection-encryption.md)
+ [使用 Windows 进行文件和文件夹级别的访问控制 ACLs](limit-access-file-folder.md)
+ [使用 Amazon VPC 进行文件系统访问控制](limit-access-security-groups.md)
+ [使用文件访问审计记录最终用户的访问](file-access-auditing.md)
+ [适用于 Windows 文件服务器 FSx 的亚马逊身份和访问管理](security-iam.md)
+ [适用于 Windows File Server 的 Amazon FSx 合规性验证](fsx-compliance.md)
+ [适用于 Windows File Server 的 Amazon FSx 和接口 VPC 端点](fsx-vpc-endpoints.md)
# 适用于 Windows File Server 的 Amazon FSx 中的数据保护
对于适用于 Windows File Server 的 Amazon FSx 中的数据保护,AWS [责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)适用。如该模式中所述,AWS 负责保护运行所有 AWS 云 的全球基础结构。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management(IAM)设置单个用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 使用 SSL/TLS 与 AWS 资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用 AWS CloudTrail 设置 API 和用户活动日记账记录。有关使用 CloudTrail 跟踪来捕获 AWS 活动的信息,请参阅《AWS CloudTrail 用户指南》**中的[使用 CloudTrail 跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅[《美国联邦信息处理标准(FIPS)第 140-3 版》](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括使用控制台、API、AWS CLI 或 AWS SDK 处理 FSx for Windows File Server 或其他 AWS 服务 时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
## FSx for Windows File Server 中的数据加密
适用于 Windows File Server 的 Amazon FSx 支持静态数据加密和传输中数据加密。创建 Amazon FSx 文件系统时,系统会自动启用静态数据加密。在支持 SMB 协议 3.0 或更高版本的计算实例上映射的文件共享支持传输中数据加密。Amazon FSx 会在您访问文件系统时使用 SMB 加密自动加密传输中数据,而无需修改应用程序。
### 何时使用加密
如果您的组织的公司或监管策略要求静态加密数据和元数据,我们建议您创建加密的文件系统以挂载使用传输中的数据加密的文件系统。
如果您的组织受到要求对数据和元数据进行静态加密的公司或监管政策的约束,则您的数据会自动进行静态加密。我们还建议您通过对传输中数据进行加密来挂载文件系统,从而对传输中数据进行加密。
# 静态数据加密
所有 Amazon FSx 文件系统都使用 AWS Key Management Service(AWS KMS)管理的密钥进行静态加密。数据在写入文件系统前会自动加密,并在读取时自动解密。这些过程由 Amazon FSx 透明地处理,因此,您不必修改您的应用程序。
Amazon FSx 使用行业标准 AES-256 加密算法对静态 Amazon FSx 数据和元数据进行加密。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[加密基础知识](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html)。
**注意**
AWS 密钥管理基础设施使用联邦信息处理标准(FIPS)140-2 批准的加密算法。该基础设施符合美国国家标准与技术研究院(NIST)800-57 建议。
## Amazon FSx 如何使用 AWS KMS
Amazon FSx 与 AWS KMS 集成在一起以进行密钥管理。Amazon FSx 使用 AWS KMS key 来加密您的文件系统。您可以选择用于加密和解密文件系统(包括数据和元数据)的 KMS 密钥。您可以启用、禁用或撤销对该 KMS 密钥的授权。该 KMS 密钥可以是以下两种类型之一:
+ **AWS 托管式密钥** – 这是默认 KMS 密钥,可以免费使用。
+ **客户托管密钥** – 这是使用最灵活的 KMS 密钥,因为您可以配置其密钥政策以及为多个用户或服务提供授权。有关创建客户托管式密钥的更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。
如果将客户托管式密钥作为您的 KMS 密钥加密和解密文件数据,您可以启用密钥轮换。在启用密钥轮换时,AWS KMS 自动每年轮换一次您的密钥。此外,对于客户托管式密钥,您可以随时选择何时禁用、重新启用、删除或撤销您的 KMS 密钥访问权限。有关更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[轮换 AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。
## AWS KMS 的 Amazon FSx 密钥政策
密钥政策是控制对 KMS 密钥访问的主要方法。有关密钥政策的更多信息,请参阅《AWS Key Management Service 开发人员指南》**中的[使用 AWS KMS 中的密钥政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。以下列表描述了 Amazon FSx 针对静态加密文件系统支持的所有 AWS KMS 相关权限:
+ **kms:Encrypt** –(可选)将明文加密为加密文字。该权限包含在默认密钥策略中。
+ **kms:Decrypt** –(必需)解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。
+ **kms:ReEncrypt** –(可选)使用新的 KMS 密钥加密服务器端的数据,而不公开客户端的数据明文。将先解密数据,然后重新加密。该权限包含在默认密钥策略中。
+ **kms:GenerateDataKeyWithoutPlaintext** –(必需)返回在 KMS 密钥下加密的数据加密密钥。该权限包含在默认密钥政策中的 **kms:GenerateDataKey\$1** 下面。
+ **kms:CreateGrant** –(必需)为密钥添加授权以指定哪些用户可以在什么条件下使用密钥。授权是密钥政策的替代权限机制。有关授权的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的[使用授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。该权限包含在默认密钥策略中。
+ **kms:DescribeKey** –(必需)提供有关所指定 KMS 密钥的详细信息。该权限包含在默认密钥策略中。
+ **kms:ListAliases** –(可选)列出账户中的所有密钥别名。在使用控制台创建加密的文件系统时,该权限将填充 KMS 密钥列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。
# 传输中数据加密
在支持 SMB 协议 3.0 或更高版本的计算实例上映射的文件共享支持传输中数据加密。这包括从 Windows Server 2012 和 Windows 8 开始的所有 Windows 版本,以及所有 Samba 客户端版本 4.2 或更高版本的 Linux 客户端。适用于 Windows File Server 的 Amazon FSx 会在您访问文件系统时使用 SMB 加密自动加密传输中数据,而无需修改应用程序。
SMB 加密使用 AES-128-GCM 或 AES-128-CCM(如果客户端支持 SMB 3.1.1,则选择 GCM 变体)作为其加密算法,同时通过使用 SMB Kerberos 会话密钥进行签名来提供数据完整性。使用 AES-128-GCM 可以提高性能,例如,通过加密的 SMB 连接复制大文件时,性能最多可提高 2 倍。
为了满足始终对传输中数据进行加密的合规性要求,您可以将文件系统的访问权限限制为仅允许访问支持 SMB 加密的客户端。您还可以启用或禁用每个文件共享或整个文件系统的传输中加密。这允许您在同一个文件系统上混合使用加密和未加密的文件共享。
## 管理传输中加密
您可以使用一组自定义 PowerShell 命令来控制在 FSx for Windows File Server 文件系统和客户端之间的传输中数据加密。您可以将文件系统访问权限限制为仅支持 SMB 加密的客户端,以保持传输中数据始终处于加密状态。启用强制执行传输中数据加密后,使用不支持 SMB 3.0 加密的客户端访问文件系统的用户将无法访问已启用加密的文件共享。
您还可以在文件共享级别而不是文件服务器级别控制传输中数据加密。如果您想对某些包含敏感数据的文件共享强制执行传输中加密,并允许所有用户访问某些其他文件共享,则可以使用文件共享级别的加密控制,以在同一个文件系统上混合使用加密和未加密的文件共享。服务器范围的加密优先于共享级别的加密。如果启用了全局加密,则无法有选择地禁用某些共享的加密。
您可以使用 Amazon FSx CLI for Remote Management on PowerShell 管理文件系统上的传输中加密。要了解如何使用此 CLI,请参阅[将 Amazon FSx CLI 用于 PowerShell](administering-file-systems.md#remote-pwrshell)。
如下所列为可用于管理文件系统上的用户传输中加密的命令。
| 传输中加密命令 | 描述 |
| --- | --- |
| **Get-FSxSmbServerConfiguration** | 检索服务器消息块(SMB)服务器配置。在系统响应中,可以根据 `EncryptData` 和 `RejectUnencryptedAccess` 属性的值确定文件系统的传输中加密设置。 |
| **Set-FSxSmbServerConfiguration** | 此命令提供两个选项,用于在文件系统上全局配置传输中加密: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/encryption-in-transit.html) |
| **Set-FSxSmbShare -name *name* -EncryptData \$1True** | 将此参数设置为 `True`,以开启共享的传输中数据加密。将此参数设置为 `False`,以关闭共享的传输中数据加密。 |
每个命令的联机帮助中都提供所有命令选项的参考信息。要访问此帮助,请运行包含 **-?** 的命令,例如 **Get-FSxSmbServerConfiguration -?**。
# 使用 Windows 进行文件和文件夹级别的访问控制 ACLs
亚马逊版 FSx Windows 文件服务器支持通过微软 Active Directory 通过服务器消息块 (SMB) 协议进行基于身份的身份验证。Active Directory 是 Microsoft 目录服务,用于存储有关网络上对象的信息,使管理员和用户能够轻松查找和使用这些信息。这些对象通常包括共享资源,例如文件服务器以及网络用户和计算机账户。要了解有关 Amazon 活动目录支持的更多信息 FSx,请参阅[使用 Microsoft Active Directory](aws-ad-integration-fsxW.md)。
您的加入域的计算实例可以使用 Active Directory 凭证访问亚马逊 FSx 文件共享。您可以使用标准的 Windows 访问控制列表 (ACLs) 进行精细的文件级和文件夹级访问控制。Amazon FSx 文件系统会自动验证访问文件系统数据的用户的凭证,以强制执行这些 Windows ACLs。
每个亚马逊 FSx 文件系统都附带一个名为的默认 Windows 文件共享`share`。此共享文件夹的 Windows ACLs 配置为允许**经过身份验证的用户进行 read/write **访问,包括文件系统加入的域中的用户和具有信任关系的域中的用户。它们还允许完全控制 Active Directory 中受委托对文件系统执行管理操作的委派的管理员组。如果您要将文件系统与 AWS 托管 Microsoft AD 集成,则此组为 AWS 委派 FSx 管理员。如果您要将文件系统与自行管理的 Microsoft AD 设置集成,则该组可以是域管理员。也可以是您在创建文件系统时指定的自定义委派的管理员组。要更改 ACLs,您可以将共享映射为委派管理员组成员的用户。
| |
| --- |
| Amazon FSx 要求系统用户对您的文件系统中的所有文件夹拥有**完全控制** NTFS ACL 权限。请勿更改此用户在您的文件夹上的 NTFS ACL 权限。这样做会使您的文件共享无法访问,并使文件系统备份无法使用。 |
## 相关链接
+ [什么是 AWS Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) 在《 AWS Directory Service 管理指南》中。
+ 在《[AWS*AWS Directory Service 管理指南》*中创建你的 Microsoft AD 托管目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)。
+ 《AWS Directory Service 管理指南》**中的[何时创建信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html)。
+ [步骤 1:设置 Active Directory](getting-started.md#prereq-step1).
# 使用 Amazon VPC 进行文件系统访问控制
您可以通过弹性网络 interface 访问您的亚马逊 FSx 文件系统。该网络接口位于虚拟私有云(VPC)中,基于您与文件系统关联的 Amazon Virtual Private Cloud(Amazon VPC)服务。您可以通过其域名服务 (DNS) 名称连接到您的 Amazon FSx 文件系统。DNS 名称映射到 VPC 中文件系统弹性网络接口的私有 IP 地址。只有关联 VPC 内的资源、通过 Direct Connect 或 VPN 与关联 VPC 连接的资源或对等体内的资源 VPCs 才能访问文件系统的网络接口。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[什么是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。
**警告**
不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。
FSx 适用于 Windows 文件服务器支持 VPC 共享,这使您可以查看、创建、修改和删除其他 AWS 账户拥有的 VPC 中共享子网中的资源。有关更多信息,请参阅 *Amazon VPC 用户指南 VPCs*中的[使用共享](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。
## Amazon VPC 安全组
为了进一步控制通过 VPC 内文件系统弹性网络接口的网络流量,请使用安全组来限制对文件系统的访问。*安全组*是一种状态防火墙,用于控制进出其关联网络接口的流量。在这种情况下,关联的资源就是文件系统的网络接口。
要使用安全组控制对您的 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入的流量,出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则,可以将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。
有关安全组规则的更多信息,请参阅*《Amazon EC2 用户指南》*中的[安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules)。
**为 Amazon 创建安全组 FSx**
1. 在 [https://console.aws.amazon.com/ec2 上打开亚马逊 EC2](https://console.aws.amazon.com/ec2) 控制台。
1. 在导航窗格中,选择 **Security Groups**(安全组)。
1. 选择**创建安全组**。
1. 为安全组指定名称和描述。
1. 对于 **VPC**,请选择与您的文件系统关联的 Amazon VPC 以在该 VPC 中创建安全组。
1. 添加以下规则以允许以下端口上的出站网络流量:
1. 对于 **VPC 安全组**,用于您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保您创建 FSx 文件系统的子网的安全组和 VPC 网络 ACLs 允许端口和下图所示方向上的流量。
![\[FSx 适用于 Windows 文件服务器对 VPC 安全组和创建文件系统的子网的网络 ACLs 的端口配置要求。\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)
下表确定了每个端口的作用。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/limit-access-security-groups.html)
**重要**
单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。
1. 确保这些流量规则也镜像到适用于每个 AD 域控制器、DNS 服务器、 FSx 客户端和管理员的防火墙上。 FSx
**重要**
虽然 Amazon VPC 安全组要求仅在网络流量启动的方向上打开端口,但大多数 Windows 防火墙和 VPC 网络都 ACLs 要求双向打开端口。
**注意**
如果您定义了 Active Directory 站点,则必须确保与 Amazon FSx 文件系统关联的 VPC 中的子网是在活动目录站点中定义的,并且您的 VPC 中的子网与其他站点中的子网之间不存在冲突。您可以使用 Active Directory Sites and Services MMC 管理单元查看和更改这些设置。
**注意**
在某些情况下,您可能已经修改了 AWS Managed Microsoft AD 安全组规则的默认设置。如果是,请确保此安全组具有允许来自您的 Amazon FSx 文件系统的流量所需的入站规则。有关必需的入站规则的更多信息,请参阅《AWS Directory Service 管理指南》**中的[AWS Managed Microsoft AD 先决条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)。
现在,您已经创建了安全组,可以将其与 Amazon FSx 文件系统的弹性网络接口相关联。
**将安全组与您的 Amazon FSx 文件系统关联**
1. 打开 Amazon FSx 控制台,网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。
1. 在控制面板上,选择您的文件系统以查看其详细信息。
1. 在**网络与安全**选项卡上,选择文件系统的网络接口;例如,**ENI-01234567890123456**。对于单可用区文件系统,您将看到单个网络接口。对于多可用区文件系统,您将在首选子网和备用子网中分别看到一个网络接口。
1. 对于每个网络接口,选择网络接口,然后在**操作**中选择**更改安全组**。
1. 在**更改安全组**对话框中,选择要使用的安全组,然后选择**保存**。
### 禁止访问文件系统
要暂时禁止所有客户端通过网络访问您的文件系统,您可以删除与文件系统的 elastic network interface 关联的所有安全组,然后将其替换为没有 inbound/outbound 规则的组。
## 亚马逊 VPC 网络 ACLs
保护对您的 VPC 内文件系统的访问的另一种选择是建立网络访问控制列表(网络 ACLs)。网络与安全组 ACLs 是分开的,但具有类似的功能,可以为您的 VPC 中的资源增加一层额外的安全保护。有关网络的更多信息 ACLs,请参阅 *Amazon VPC 用户指南 ACLs中的[网络](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html)。*
# 使用文件访问审计记录最终用户的访问
Amazon FSx for Windows 文件服务器支持审核最终用户对文件、文件夹和文件共享的访问权限。您可以选择将文件系统的审计事件日志发送到提供丰富功能集的其他 AWS 服务。这些服务包括实现查询、处理、存储和存档日志、发出通知和触发操作,以进一步推进安全性和合规性目标。
有关使用文件访问审计来深入了解访问模式和实施最终用户活动安全通知的更多信息,请参阅[文件存储访问模式见解](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/)和[实施最终用户活动安全通知](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/)。
**注意**
只有吞吐量为 32 MBps 或更大 FSx 的 Windows 文件系统才支持文件访问审计。您可以修改现有文件系统的吞吐能力。有关更多信息,请参阅 [管理吞吐能力](managing-throughput-capacity.md)。
文件访问审计能让您根据您定义的审核控制措施记录最终用户对单个文件、文件夹和文件共享的访问。审计控制也称为 NTFS 系统访问控制列表 (SACLs)。如果您已经对现有文件数据设置了审计控制,则可以通过创建新的 Amazon FSx for Windows 文件服务器文件系统并迁移数据来利用文件访问审计。
Amazon FSx 支持以下 Windows 审核事件,用于访问文件、文件夹和文件共享:
+ 对于文件访问,它支持:全部、遍历文件夹/执行文件、列出文件夹/读取数据、读取属性、创建文件/写入数据、创建文件夹/追加数据、写入属性、删除子文件夹和文件、删除、读取权限、更改权限和获取所有权。
+ 对于文件共享访问,它支持:连接到文件共享。
在文件、文件夹和文件共享访问中,Amazon FSx 支持记录成功尝试(例如拥有足够权限的用户成功访问文件或文件共享)、失败的尝试或两者兼而有之。
您可以配置是只想对文件和文件夹进行访问审核,还是只对文件共享进行访问审核,或者都进行审核。您也可以配置应记录哪些类型的访问(仅成功尝试、仅失败尝试或同时记录两者)。您还可以随时关闭文件访问审计。
**注意**
文件访问审计仅记录启用后的最终用户访问数据。也就是说,文件访问审计不会生成在启用文件访问审核前发生的最终用户文件、文件夹和文件共享访问活动的审计事件日志。
支持的访问审核事件最大速率为每秒 5000 个事件。访问审核事件不针对每个文件读取和写入操作生成,而是每个文件元数据操作生成一次,例如用户创建、打开或删除文件时。
**Topics**
+ [审核事件日志目标](#faa-log-destinations)
+ [迁移审核控制措施](#migrate-faa)
+ [查看事件日志](#view-faa-logs)
+ [设置文件和文件夹审计控制](faa-audit-controls.md)
+ [管理文件访问审计](manage-faa.md)
## 审核事件日志目标
启用文件访问审计时,必须配置 Amazon 向其 FSx 发送审核事件日志的 AWS 服务。您可以将审计事件日志发送到日志组中的 Amazon CloudWatch 日志流或 Amazon Data CloudWatch Firehose 传输流。您可以在创建 Amazon FSx for Windows 文件服务器文件系统时选择审核事件日志目标,也可以在更新现有文件系统之后随时选择审计事件日志目标。有关更多信息,请参阅 [管理文件访问审计](manage-faa.md)。
以下是一些可以帮助您决定如何选择审核事件日志目标的建议:
+ 如果您想在 Amazon CloudWatch 控制台中存储、查看和搜索审计事件日志,使用 Logs Insights 对日志进行查询,以及触发 CloudWatch 警报或 Lambda 函数,请选择 CloudWatch CloudWatch 日志。
+ 如果您想持续将事件流式传输到亚马逊 S3 中的存储、亚马逊 Redshift 中的数据库、亚马逊服务或合作伙伴解决方案(例如 Splunk 或 Datadog)进行进一步分析, AWS 请选择 OpenSearch Amazon Data Firehose。
默认情况下,Amazon FSx 将在您的账户中创建并使用默认 CloudWatch 日志组作为审计事件日志目标。如果要使用自定义 CloudWatch 日志组或使用 Firehose 作为审核事件日志目标,则对审计事件日志目标的名称和位置要求如下:
+ CloudWatch 日志日志组的名称必须以`/aws/fsx/`前缀开头。如果您在控制台上创建或更新文件系统时没有现有的 CloudWatch 日志日志组,Amazon FSx 可以在日志组中创建和使用默认 CloudWatch `/aws/fsx/windows`日志流。如果您不想使用默认日志组,则配置用户界面允许您在控制台上创建或更新文件系统时创建 CloudWatch 日志日志组。
+ Firehose 传输流的名称必须以 `aws-fsx-` 为前缀。如果您没有现有的 Firehose 传输流,则可以在控制台创建或更新文件系统时创建一个。
+ 必须将 Firehose 传输流配置为以 `Direct PUT` 作为其来源。不得使用现有的 Kinesis 数据流作为传输流的数据来源。
+ 目标( CloudWatch 日志日志组或 Firehose 传输流)必须与您的亚马逊 FSx 文件系统位于同一个 AWS 分区 AWS 区域、和 AWS 账户 中。
您可以随时更改审核事件日志的目标(例如,从 Lo CloudWatch gs 更改为 Firehose)。更改后,新的审核事件日志便只会发送到新的目标。
### 最大努力审核事件日志传送
通常,审核事件日志记录传输至目标只需要几分钟,但有时可能会需要更长的时间。在极少数情况下,审核事件日志记录可能会有遗漏。如果您的使用案例需要特定的语义(例如,确保不遗漏任何审核事件),我们建议您在设计工作流程时对遗漏的事件进行说明。您可以通过扫描文件系统上的文件和文件夹结构来审核遗漏的事件。
## 迁移审核控制措施
如果您已经对现有文件数据设置了审计控制 (SACLs),则可以创建 Amazon FSx 文件系统并将数据迁移到新的文件系统。我们建议使用 AWS DataSync 来传输数据以及与您的 Amazon FSx 文件系统关联 SACLs 的。此外,您还可以使用 Robocopy(Robust File Copy)。有关更多信息,请参阅 [将现有文件存储迁移到 Amazon FSx](migrate-to-fsx.md)。
## 查看事件日志
在 Amazon 开始发布审计事件日志后 FSx ,您可以查看这些日志。查看日志的位置和方式取决于审核事件日志的目标:
+ 要查看 CloudWatch 日志日志,请进入 CloudWatch 控制台,选择审计事件日志发送到的日志组和日志流。有关更多信息,请参阅 *Amazon Logs 用户指南中的查看发送到 CloudWatch CloudWatch 日志*[的日志数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。
您可以使用 CloudWatch Logs Insights 以交互方式搜索和分析您的日志数据。有关更多信息,请参阅 *Amazon Logs 用户指南中的使用 CloudWatch 日志见解分析 CloudWatch 日志*[数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)。
您还可以将审核事件日志导出到 Amazon S3。有关更多信息,请参阅《[亚马逊日志用户指南》中的将日志数据导出到](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) *Amazon CloudWatch * S3。
+ 您无法在 Firehose 上查看审核事件日志。但是,您可以将 Firehose 配置为将日志转发到您可以读取的目标。目的地包括亚马逊 S3、亚马逊 Redshift、亚马逊 OpenSearch 服务以及 Splunk 和 Datadog 等合作伙伴解决方案。有关更多信息,请参阅亚马逊 Dat *a* Firehose 开发者[指南中的选择目的地](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html)。
### 审核事件字段
本节介绍审核事件日志中的信息描述以及审核事件示例。
以下是对 Windows 审核事件中重要字段的描述。
+ **EventID** 指 Microsoft 定义的 Windows 事件日志事件 ID。有关[文件系统事件](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system)和[文件共享事件](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share)的信息,请参阅 Microsoft 文档。
+ **SubjectUserName**指执行访问权限的用户。
+ **ObjectName**指访问的目标文件、文件夹或文件共享。
+ **ShareName**适用于为文件共享访问而生成的事件。例如,`EventID 5140` 在访问网络共享对象时生成。
+ **IpAddress**指启动文件共享事件的客户端。
+ **Keywords**(如有)指明文件访问成功还是失败。如果是成功的访问,该值为 `0x8020000000000000`。如果是失败的访问,该值为 `0x8010000000000000`。
+ **TimeCreated SystemTime**指事件在系统中生成并以 Z 格式显示的时间。DDThh
+ **计算机**是指文件系统 Windows 远程 PowerShell 端点的 DNS 名称,可用于识别文件系统。
+ **AccessMask**,如果可用,则指所执行的文件访问类型(例如 ReadData、 WriteData)。
+ **AccessList**指请求或授予对对象的访问权限。有关详细信息,请参阅下表和 Microsoft 文档(例如[事件 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656) 中)。
| 访问类型 | 访问掩码 | 值 |
| --- | --- | --- |
| 读取数据或列出目录 | 0x1 | %%4416 |
| 写入数据或添加文件 | 0x2 | %%4417 |
| 追加数据或添加子目录 | 0x4 | %%4418 |
| 读取扩展属性 | 0x8 | %%4419 |
| 写入扩展属性 | 0x10 | %%4420 |
| 执行/遍历 | 0x20 | %%4421 |
| 删除子 | 0x40 | %%4422 |
| 读取属性 | 0x80 | %%4423 |
| 写入属性 | 0x100 | %%4424 |
| 删除 | 0x10000 | %%1537 |
| 读取 ACL | 0x20000 | %%1538 |
| 写入 ACL | 0x40000 | %%1539 |
| 写入所有者 | 0x80000 | %1540 |
| 同步 | 0x100000 | %1541 |
| 访问安全 ACL | 0x1000000 | %%1542 |
以下是一些关键事件和示例。请注意,对 XML 设置了格式以便于阅读。
删除对象时会记录**事件 ID 4660**。
```
466000
128000
0x8020000000000000
315452
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x50932f71Security
0x12e00x4
{00000000-0000-0000-0000-000000000000}
```
请求删除文件时会记录**事件 ID 4659**。
```
465900128000
0x8020000000000000
308888
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\shar\event.txt
0x0{00000000-0000-0000-0000-000000000000}
%%1537
%%4423
0x10080-
0x4
```
为对象执行特定操作时会记录**事件 ID 4663**。以下示例显示了从文件中读取数据,这些数据可以通过 `AccessList %%4416` 进行解读。
```
4663< /EventID>10128000
0x8020000000000000
308831
Securityamznfsxgyzohmw8.example.com
< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0x101c%%4416
0x10x4
S:AI
```
以下示例显示了文件中的 write/append 数据,可以从中解释`AccessList %%4417`。
```
466310128000
0x8020000000000000
308838
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\event.txt
0xa38%%4417
0x20x4
S:AI
```
**事件 ID 4656** 表示已请求对某个对象请求特定访问权限。在以下示例中,读取请求是 ObjectName 为 “permtest” 发起的,但尝试失败,如关键字值所示。`0x8010000000000000`
```
465610128000
0x8010000000000000
308919
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0x0{00000000-0000-0000-0000-000000000000}
%%1541
%%4416
%%4423
%%1541: %%1805
%%4416: %%1805
%%4423: %%1811 D:(A;OICI;0x1301bf;;;AU)
0x100081-
00x4
-
```
更改对象权限时会记录**事件 ID 4670**。以下示例显示用户 “管理员” 修改了 “permtest” 的权限,以向 SID “S-1-5-21-65 ObjectName 8495921-4185342820-3824891517-1113” 添加权限。有关如何解释权限的更多信息,请参阅 Microsoft 文档。
```
467000
1357000x8020000000000000
308992
Security
amznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-1113
Adminexample
0x2a9a603fSecurity
File\Device\HarddiskVolume8\share\permtest
0xcc8
D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)
D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)0x4
```
每次访问文件共享时都会记录**事件 ID 5140**。
```
514010128080
0x8020000000000000
308947
Securityamznfsxgyzohmw8.example.com
S-1-5-21-658495921-4185342820-3824891517-2620
EC2AMAZ-1GP4HMN$example
0x2d4ca529File172.45.6.789
49730\\AMZNFSXCYDKLDZZ\share
\??\D:\share0x1%%4416
```
在文件共享级别拒绝访问时会记录**事件 ID 5145**。以下示例显示了对 ShareName “demoshare01” 的访问被拒绝。
```
514500
1281100x8010000000000000
282939
Security
amznfsxtmn9autz.example.com
S-1-5-21-658495921-4185342820-3824891517-
1113Adminexample
0x95b3fb7File
172.31.7.11259979
\\AMZNFSXDPNTE0DC\demoshare01\??\D:\demoshare01
Desktop.ini0x120089
%%1538 %%1541 %%4416 %%4419 %%4423 %%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805
```
如果您使用 Lo CloudWatch gs Insights 搜索日志数据,则可以对事件字段运行查询,如以下示例所示:
+ 查询特定事件 ID:
```
fields @message
| filter @message like /4660/
```
+ 查询与特定文件名匹配的所有事件:
```
fields @message
| filter @message like /event.txt/
```
有关 [Lo CloudWatch gs Insights 查询语言的更多信息,请参阅 *Amazon Logs 用户指南中的使用 CloudWatch CloudWatch 日志*见解分析日志数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)。
# 设置文件和文件夹审计控制
您需要为要审核用户访问尝试的文件和文件夹设置审核控制措施。审计控制也称为 NTFS 系统访问控制列表 (SACLs)。
您可以使用 Windows 原生 GUI 界面或使用 Windows 命令以编程方式配置审计控制。 PowerShell 如果启用继承,则通常只需要对要记录访问日志的顶级文件夹设置审核控制措施。
## 使用 Windows GUI 设置审核访问
要使用 GUI 对文件和文件夹设置审核控制措施,请使用 Windows 文件资源管理器。在给定文件或文件夹上,打开 Windows 文件资源管理器,然后选择**属性 > 安全 > 高级 > 审核**选项卡。
以下审核控制措施示例审核文件夹的成功事件。每当管理员用户成功打开该句柄进行读取时,就会发出一个 Windows 事件日志条目。
![\[\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)
**类型**字段指示您要审核的操作。将此字段设置为**成功**可审核成功的尝试,将此字段设置为**失败**可审核失败的尝试,将此字段设置为**全部**可审核成功的尝试和失败的尝试。
有关审核输入字段的更多信息,请参阅 Microsoft 文档中的[对文件或文件夹应用基本审核策略](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder)。
## 使用 PowerShell 命令设置审核访问权限
您可以使用 Microsoft Windows `Set-Acl` 命令对任何文件或文件夹设置审核 SACL。有关此命令的更多信息,请参阅 Microsoft [Set-Acl](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1) 文档。
以下是使用一系列 PowerShell 命令和变量为成功尝试设置审核访问权限的示例。您可以调整这些示例命令,满足文件系统的需求。
```
$path = "C:\Users\TestUser\Desktop\DemoTest\"
$ACL = Get-Acl $path
$ACL | Format-List
$AuditUser = "TESTDOMAIN\TestUser"
$AuditRules = "FullControl"
$InheritType = "ContainerInherit,ObjectInherit"
$AuditType = "Success"
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)
$ACL.SetAuditRule($AccessRule)
$ACL | Set-Acl $path
Get-Acl $path -Audit | Format-List
```
# 管理文件访问审计
在创建新的 Amazon FSx for Windows 文件服务器文件系统时,您可以启用文件访问审计。当您通过 Amazon FSx 控制台创建文件系统时,文件访问审计默认处于关闭状态。
在启用了文件访问审计的现有文件系统上,您可以更改文件访问审计设置,包括更改文件和文件共享访问的访问尝试类型以及审计事件日志目标。您可以使用 Amazon FSx 控制台或 API 执行这些任务。 AWS CLI
**注意**
只有吞吐量为 32 MBps 或更大 FSx 的 Windows 文件服务器文件系统的 Amazon 支持文件访问审计。 MBps 如果启用了文件访问审计,则无法创建或更新吞吐量小于 32 的文件系统。创建文件系统后,您可以随时修改吞吐能力。有关更多信息,请参阅 [管理吞吐能力](managing-throughput-capacity.md)。
## 创建文件系统时启用文件访问审计(控制台)
1. 打开亚马逊 FSx 控制台,网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。
1. 按照“入门”部分的[步骤 5。创建文件系统](getting-started.md#getting-started-step1)中所述的步骤创建新文件系统。
1. 打开**审核 – 可选**部分。默认情况下,文件访问审计处于禁用状态。
![\[\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/faa-create-wizard.png)
1. 要启用和配置文件访问审计,请执行以下操作。
+ 在 “**记录对文件和文件夹的访问权限**” 中,选择记录成功 and/or 失败的尝试。如果未做出选择,则会禁用文件和文件夹的日志记录。
+ **要记录对文件共享的访问权限**,请选择记录成功 and/or 失败的尝试。如果未做出选择,则会禁用文件共享的日志记录。
+ **在 “选择审核事件日志目标**” 中,选择 “**CloudWatch 日志**” 或 “**Fire** hose”。然后选择现有日志或传输流,或者创建新的日志或传输流。对于 CloudWatch 日志,Amazon FSx 可以在日志组中创建和使用默认 CloudWatch `/aws/fsx/windows`日志流。
以下是文件访问审计配置的示例,该配置将审核最终用户成功和失败的文件、文件夹和文件共享访问尝试。审核事件日志将发送到默认的 CloudWatch 日志`/aws/fsx/windows`日志组目标。
![\[\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/faa-create-advanced.png)
1. 继续执行文件系统创建向导的下一部分。
当文件系统处于**可用**状态时,将启用文件访问审计功能。
## 在创建文件系统时启用文件访问审计(CLI)
1. 创建新文件系统时,请将`AuditLogConfiguration`属性与 [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API 操作配合使用,为新文件系统启用文件访问审计。
```
aws fsx create-file-system \
--file-system-type WINDOWS \
--storage-capacity 300 \
--subnet-ids subnet-123456 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
1. 当文件系统处于**可用**状态时,将启用文件访问审计功能。
## 更改文件访问审计配置(控制台)
1. 打开亚马逊 FSx 控制台,网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。
1. 导航到**文件系统**,然后选择要管理文件访问审计的 Windows 文件系统。
1. 选择**管理**选项卡。
1. 在**文件访问审计**面板上,选择**管理**。
![\[FSx console 文件访问审计面板,显示文件访问审计配置。\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/faa-admin-panel.png)
1. 在**管理文件访问审计设置**对话框中,更改所需的设置。
![\[FSx console 文件访问审计面板,使用此面板修改文件访问审计配置。\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/faa-update-config.png)
+ 在 “**记录对文件和文件夹的访问权限**” 中,选择记录成功 and/or 失败的尝试。如果未做出选择,则会禁用文件和文件夹的日志记录。
+ **要记录对文件共享的访问权限**,请选择记录成功 and/or 失败的尝试。如果未做出选择,则会禁用文件共享的日志记录。
+ **在 “选择审核事件日志目标**” 中,选择 “**CloudWatch 日志**” 或 “**Fire** hose”。然后选择现有日志或传输流,或者创建新的日志或传输流。
1. 选择**保存**。
## 更改文件访问审计配置(CLI)
+ 使用 [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) CLI 命令或等效 [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html) API 操作。
```
aws fsx update-file-system \
--file-system-id fs-0123456789abcdef0 \
--windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
FileShareAccessAuditLogLevel="FAILURE_ONLY", \
AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
```
# 适用于 Windows 文件服务器 FSx 的亚马逊身份和访问管理
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*通过 Windows 文件服务器资源进行身份验证*(登录)和*授权*(拥有权限)。 FSx 您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [FSx 适用于 Windows 的 Amazon 文件服务器如何与 IAM 配合使用](security_iam_service-with-iam.md)
+ [FSx 适用于亚马逊 Windows 文件服务器的基于身份的策略示例](security_iam_id-based-policy-examples.md)
+ [AWS 适用于 Windows 文件服务器 FSx 的亚马逊托管策略](security-iam-awsmanpol.md)
+ [对适用 FSx 于 Windows 的 Amazon 文件服务器身份和访问权限进行故障排除](security_iam_troubleshoot.md)
+ [在 Amazon 上使用标签 FSx](using-tags-fsx.md)
+ [使用适用于 Windows 文件服务器 FSx 的服务相关角色](using-service-linked-roles.md)
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对适用 FSx 于 Windows 的 Amazon 文件服务器身份和访问权限进行故障排除](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[FSx 适用于 Windows 的 Amazon 文件服务器如何与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[FSx 适用于亚马逊 Windows 文件服务器的基于身份的策略示例](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务,请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 联合身份
作为最佳实践,要求人类用户使用与身份提供商的联合身份验证才能 AWS 服务 使用临时证书进行访问。
*联合身份是指*来自您的企业目录、Web 身份提供商的用户 Directory Service ,或者 AWS 服务 使用来自身份源的凭据进行访问的用户。联合身份代入可提供临时凭证的角色。
要集中管理访问权限,建议使用。 AWS IAM Identity Center有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# FSx 适用于 Windows 的 Amazon 文件服务器如何与 IAM 配合使用
在使用 IAM 管理 Windows 文件服务器 FSx 的访问权限之前,请先了解哪些可用 FSx 于 Windows 文件服务器的 IAM 功能。
**你可以在 Windows 版亚马逊文件服务器上使用 FSx 的 IAM 功能**
| IAM 功能 | FSx 支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [策略条件键(特定于服务)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACLs](#security_iam_service-with-iam-acls) | 否 |
| [ABAC(策略中的标签)](#security_iam_service-with-iam-tags) | 是 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [转发访问会话](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服务角色](#security_iam_service-with-iam-roles-service) | 否 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
要全面了解 FSx 以及其他 AWS 服务如何与大多数 IAM 功能配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 基于身份的策略 FSx
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 基于身份的策略示例 FSx
要查看基 FSx 于 Windows 文件服务器身份的策略的示例,请参阅。[FSx 适用于亚马逊 Windows 文件服务器的基于身份的策略示例](security_iam_id-based-policy-examples.md)
## 内部基于资源的政策 FSx
**支持基于资源的策略:**否
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 的政策行动 FSx
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看 FSx 操作列表,请参阅《*服务授权参考*[》中的 Amazon FSx 为 Windows 文件服务器定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)。
正在执行的策略操作在操作前 FSx 使用以下前缀:
```
fsx
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
要查看基 FSx 于 Windows 文件服务器身份的策略的示例,请参阅。[FSx 适用于亚马逊 Windows 文件服务器的基于身份的策略示例](security_iam_id-based-policy-examples.md)
## 的政策资源 FSx
**支持策略资源:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
要查看 FSx 资源类型及其列表 ARNs,请参阅《*服务授权参考*[》中的 Amazon FSx 为 Windows 文件服务器定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies)。要了解您可以使用哪些操作来指定每种资源的 ARN,请参阅[亚马逊为 Windows 文件服务器定义 FSx 的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)。
要查看基 FSx 于 Windows 文件服务器身份的策略的示例,请参阅。[FSx 适用于亚马逊 Windows 文件服务器的基于身份的策略示例](security_iam_id-based-policy-examples.md)
## 的策略条件密钥 FSx
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看 FSx 条件密钥列表,请参阅《*服务授权参考*》中的 [Amazon FSx for Windows 文件服务器的条件密](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys)钥。要了解您可以使用条件键的操作和资源,请参阅 [Amazon 为 Windows 文件服务器定义 FSx 的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions)。
要查看基 FSx 于 Windows 文件服务器身份的策略的示例,请参阅。[FSx 适用于亚马逊 Windows 文件服务器的基于身份的策略示例](security_iam_id-based-policy-examples.md)
## ACLs in FSx
**支持 ACLs:**否
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
## ABAC with FSx
**支持 ABAC(策略中的标签):**是
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 将临时证书与 FSx
**支持临时凭证:**是
临时证书提供对 AWS 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## 转发访问会话 FSx
**支持转发访问会话(FAS):**是
转发访问会话 (FAS) 使用调用主体的权限 AWS 服务,再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## 的服务角色 FSx
**支持服务角色:**否
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
更改服务角色的权限可能会中断 FSx 功能。只有在 FSx 提供操作指导时才编辑服务角色。
## 的服务相关角色 FSx
**支持服务关联角色:**是
服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理 FSx Windows 文件服务器服务相关角色的详细信息,请参阅[使用适用于 Windows 文件服务器 FSx 的服务相关角色](using-service-linked-roles.md)。
# FSx 适用于亚马逊 Windows 文件服务器的基于身份的策略示例
默认情况下,用户和角色无权创建或修改 Window FSx s 文件服务器资源。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关由 FSx定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》中的 [Amazon FSx for Windows 文件服务器的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html)。 ARNs
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [使用控制 FSx 台](#security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
## 策略最佳实践
基于身份的策略决定了是否有人可以在你的账户中创建、访问或删除 FSx Windows 文件服务器资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用控制 FSx 台
要访问 FSx 适用于 Windows 的 Amazon 文件服务器控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您的 FSx Windows 文件服务器资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保用户和角色仍然可以使用 FSx 控制台,还要将 FSx `AmazonFSxConsoleReadOnlyAccess` AWS 托管策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS 适用于 Windows 文件服务器 FSx 的亚马逊托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## Amazon FSx ServiceRolePolicy
允许 FSx Amazon 代表您管理 AWS 资源。请参阅 [使用适用于 Windows 文件服务器 FSx 的服务相关角色](using-service-linked-roles.md),了解更多信息。
## AWS 托管策略:Amazon FSx DeleteServiceLinkedRoleAccess
您不能将 `AmazonFSxDeleteServiceLinkedRoleAccess` 附加到自己的 IAM 实体。该策略关联到服务,仅用于该服务的服务关联角色。您不能附加、分离、修改或删除此策略。有关更多信息,请参阅 [使用适用于 Windows 文件服务器 FSx 的服务相关角色](using-service-linked-roles.md)。
该策略授予管理权限,允许亚马逊 FSx 删除其对 Amazon S3 访问权限的服务关联角色,该角色仅 FSx 供亚马逊用于 Lustre。
**权限详细信息**
此策略包括`iam`允许亚马逊 FSx 查看、删除和查看 Amazon S3 FSx 服务关联角色访问权限的删除状态的权限。
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxDeleteServiceLinkedRoleAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html)。
## AWS 托管策略:Amazon FSx FullAccess
您可以将 Amazon 附加FSxFullAccess 到您的 IAM 实体。亚马逊 FSx 还将此政策附加到允许亚马逊 FSx 代表您执行操作的服务角色。
提供对 Amazon 的完全访问权限 FSx 和相关 AWS 服务的访问权限。
**权限详细信息**
该策略包含以下权限。
+ `fsx`— 允许委托人具有执行所有 Amazon FSx 操作的完全访问权限,但以下操作除外。`BypassSnaplockEnterpriseRetention`
+ `ds`— 允许委托人查看有关 Directory Service 目录的信息。
+ `ec2`
+ 允许主体在指定的条件下创建标签。
+ 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ `iam`— 允许原则代表用户创建 Amazon FSx 服务关联角色。这是必需的,这样 Amazon FSx 才能代表用户管理 AWS 资源。
+ `firehose`:允许主体将记录写入 Amazon Data Firehose。这是必需的,这样用户才能通过向 Firehose 发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。
+ `logs`:允许主体创建日志组、日志流并将事件写入日志流。这是必需的,这样用户才能通过向日志发送审核访问日志来监控 FSx Windows 文件服务器文件系统的访问权限。 CloudWatch
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxFullAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html)。
## AWS 托管策略:Amazon FSx ConsoleFullAccess
您可以将 `AmazonFSxConsoleFullAccess` 策略附加到 IAM 身份。
此政策授予管理权限,允许用户完全访问亚马逊 FSx 并通过访问相关 AWS 服务 AWS 管理控制台。
**权限详细信息**
该策略包含以下权限。
+ `fsx`— 允许委托人在 Amazon FSx 管理控制台中执行所有操作,但以下操作除外。`BypassSnaplockEnterpriseRetention`
+ `cloudwatch`— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。
+ `ds`— 允许委托人列出有关 Directory Service 目录的信息。
+ `ec2`
+ 允许委托人在路由表上创建标签,列出网络接口、路由表、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。
+ 允许主体为可与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ 允许委托人查看与 Amazon FSx 文件系统关联的弹性网络接口。
+ `kms`— 允许委托人列出密钥的别名。 AWS Key Management Service
+ `s3`:允许主体列出 Amazon S3 桶中的部分或全部对象(最多 1000 个)。
+ `secretsmanager`— 允许委托人列出 AWS Secrets Manager 用于选择域加入服务帐户凭据的密码。
+ `iam`— 授予创建服务关联角色的权限,该角色允许 Amazon FSx 代表用户执行操作。
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxConsoleFullAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html)。
## AWS 托管策略:Amazon FSx ConsoleReadOnlyAccess
您可以将 `AmazonFSxConsoleReadOnlyAccess` 策略附加到 IAM 身份。
此政策向 Amazon FSx 和相关 AWS 服务授予只读权限,以便用户可以在中查看有关这些服务的信息 AWS 管理控制台。
**权限详细信息**
该策略包含以下权限。
+ `fsx`— 允许委托人在亚马逊 FSx 管理控制台中查看有关亚马逊 FSx 文件系统的信息,包括所有标签。
+ `cloudwatch`— 允许委托人在 Amazon FSx 管理控制台中查看 CloudWatch 警报和指标。
+ `ds`— 允许委托人在 Amazon FSx 管理控制台中查看有关 Directory Service 目录的信息。
+ `ec2`
+ 允许委托人在 Amazon FSx 管理控制台中查看网络接口、安全组、子网和与 Amazon FSx 文件系统关联的 VPC。
+ 允许主体为可与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ 允许委托人查看与 Amazon FSx 文件系统关联的弹性网络接口。
+ `kms`— 允许委托人在 Amazon FSx 管理控制台中查看 AWS Key Management Service 密钥的别名。
+ `log`— 允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx
+ `secretsmanager`— 允许委托人列出 AWS Secrets Manager 用于选择域加入服务帐户凭据的密码。
+ `firehose`:允许主体描述与发出请求的账户关联的 Amazon Data Firehose 传输流。这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxConsoleReadOnlyAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html)。
## AWS 托管策略:Amazon FSx ReadOnlyAccess
您可以将 `AmazonFSxReadOnlyAccess` 策略附加到 IAM 身份。
+ `fsx`— 允许委托人在亚马逊 FSx 管理控制台中查看有关亚马逊 FSx 文件系统的信息,包括所有标签。
+ `ec2`:为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
要查看此策略的权限,请参阅《 AWS 托管策略参考指南》FSxReadOnlyAccess中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html)。
## 亚马逊 FSx 更新了托 AWS 管政策
查看 FSx 自该服务开始跟踪这些变更以来亚马逊 AWS 托管政策更新的详细信息。要获取有关此页面变更的自动提醒,请订阅 Amazon FSx [文档历史记录](doc-history.md) 页面上的 RSS 提要。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 添加了一项新权限`secretsmanager:ListSecrets`,允许委托人列出 AWS Secrets Manager 用于选择域名加入服务账户凭证的密码。 | 2025 年 11 月 5 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-对现有政策的更新 | Amazon FSx 添加了一项新权限`secretsmanager:ListSecrets`,允许委托人列出 AWS Secrets Manager 用于选择域名加入服务账户凭证的密码。 | 2025 年 11 月 3 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-对现有政策的更新 | Amazon FSx 添加了一项新权限`ec2:AssignIpv6Addresses`,允许委托人为带有`AmazonFSx.FileSystemId`标签的客户网络接口分配 IPv6 地址。 | 2025 年 7 月 22 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-对现有政策的更新 | Amazon FSx 添加了一项新权限`ec2:UnassignIpv6Addresses`,允许委托人取消分配 IPv6 带有标签的客户网络接口的地址。`AmazonFSx.FileSystemId` | 2025 年 7 月 22 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 添加了一项新权限`fsx:CreateAndAttachS3AccessPoint`,允许委托人创建 S3 接入点并将其连接到 FSx 卷。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 添加了一项新权限`fsx:DescribeS3AccessPointAttachments`,允许委托人列出所有 S3 接 AWS 账户 入 AWS 区域点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 添加了一项新权限`fsx:DetachAndDeleteS3AccessPoint`,允许委托人删除 S3 接入点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | Amazon FSx 添加了一项新权限`fsx:CreateAndAttachS3AccessPoint`,允许委托人创建 S3 接入点并将其连接到 FSx 卷。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | Amazon FSx 添加了一项新权限`fsx:DescribeS3AccessPointAttachments`,允许委托人列出所有 S3 接 AWS 账户 入 AWS 区域点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | Amazon FSx 添加了一项新权限`fsx:DetachAndDeleteS3AccessPoint`,允许委托人删除 S3 接入点。 | 2025 年 6 月 25 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-对现有政策的更新 | Amazon FSx 增加了新权限`ec2:DescribeNetworkInterfaces`,允许委托人查看与其文件系统关联的弹性网络接口。 | 2025 年 2 月 25 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 增加了新权限`ec2:DescribeNetworkInterfaces`,允许委托人查看与其文件系统关联的弹性网络接口。 | 2025 年 2 月 7 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-对现有政策的更新 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess)-对现有政策的更新 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-对现有政策的更新 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 增加了新权限`ec2:GetSecurityGroupsForVpc`,允许委托人对可用于 VPC 的所有安全组提供增强的安全组验证。 | 2024 年 1 月 9 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限,允许用户对 OpenZFS 文件系统执行跨区域和跨账户数据复制。 FSx | 2023 年 12 月 20 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限,允许用户对 OpenZFS 文件系统执行跨区域和跨账户数据复制。 FSx | 2023 年 12 月 20 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | Amazon FSx 增加了新的权限,允许用户按需复制 OpenZFS 文件系统的卷。 FSx | 2023 年 11 月 26 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 增加了新的权限,允许用户按需复制 OpenZFS 文件系统的卷。 FSx | 2023 年 11 月 26 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用 ONTAP 多可用区文件 FSx 系统的共享 VPC 支持。 | 2023 年 11 月 14 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 添加了新的权限,使用户能够查看、启用和禁用 ONTAP 多可用区文件 FSx 系统的共享 VPC 支持。 | 2023 年 11 月 14 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限, FSx 允许亚马逊管理 OpenZFS 多可用区文件系统的网络配置。 FSx | 2023 年 8 月 9 日 |
| [AWS 托管策略:Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — 更新现有政策 | 亚马逊 FSx 修改了现有`cloudwatch:PutMetricData`权限,以便亚马逊向`AWS/FSx`命名空间 FSx 发布 CloudWatch 指标。 | 2023 年 7 月 24 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | Amazon FSx 更新了政策,删除了`fsx:*`权限并添加了具体`fsx`操作。 | 2023 年 7 月 13 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 更新了政策,删除了`fsx:*`权限并添加了具体`fsx`操作。 | 2023 年 7 月 13 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限,使用户能够在亚马逊 FSx 控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。 FSx | 2022 年 9 月 21 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限,使用户能够在亚马逊 FSx 控制台中查看 Windows 文件服务器文件系统的增强性能指标和建议的操作。 FSx | 2022 年 9 月 21 日 |
| [亚马逊 FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess)-已开始追踪政策 | 该政策授予对所有 Amazon FSx 资源以及与之关联的任何标签的只读访问权限。 | 2022 年 2 月 4 日 |
| [亚马逊 FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess)-已开始追踪政策 | 此策略授予管理权限, FSx 允许亚马逊删除其对 Amazon S3 访问权限的服务关联角色。 | 2022 年 1 月 7 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限, FSx 允许亚马逊管理适用 FSx 于 NetApp ONTAP 文件系统的亚马逊网络配置。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | Amazon FSx 增加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | 亚马逊 FSx 添加了新的权限, FSx 允许亚马逊为 NetApp ONTAP 多可用区文件系统创建亚马逊 FSx 。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 增加了新的权限,允许 Amazon FSx 在 EC2 路由表上创建标签,从而缩小了调用范围。 | 2021 年 9 月 2 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限, FSx 允许亚马逊描述和写入 CloudWatch 日志流。 这是必需的,这样用户才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限, FSx 允许亚马逊描述和写入亚马逊数据 Firehose 传输流。 这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx 适用于 Windows 文件服务器的文件系统的文件访问审核日志。 | 2021 年 6 月 8 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | Amazon FSx 增加了新的权限,允许委托人描述和创建 CloudWatch 日志组、日志流以及将事件写入日志流。 这是必需的,这样委托人才能使用日志查看 Windows 文件服务器文件系统的文件访问审核 CloudWatch 日志。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限,允许委托人向亚马逊数据 Firehose 描述和写入记录。 这是必需的,这样用户才能使用 Amazon Data Firehose 查看 FSx 适用于 Windows 文件服务器的文件系统的文件访问审核日志。 | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。 这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 CloudWatch 日志日志组。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。 这是必需的,这样委托人才能在为 Windows 文件服务器文件系统配置文件访问审计时选择现有的 Fire FSx hose 传送流。 | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-对现有政策的更新 | Amazon FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Logs CloudWatch 日志组。 这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx | 2021 年 6 月 8 日 |
| [亚马逊 FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess)-对现有政策的更新 | 亚马逊 FSx 增加了新的权限,允许委托人描述与提出请求的账户关联的 Amazon Data Firehose 传输流。 这是必需的,这样委托人才能查看适用于 Windows 文件服务器的文件系统的现有文件访问审核配置。 FSx | 2021 年 6 月 8 日 |
| 亚马逊 FSx 开始追踪变更 | 亚马逊 FSx 开始跟踪其 AWS 托管政策的变更。 | 2021 年 6 月 8 日 |
# 对适用 FSx 于 Windows 的 Amazon 文件服务器身份和访问权限进行故障排除
使用以下信息来帮助您诊断和修复在使用 Windows 文件服务器和 IAM 时可能遇到 FSx 的常见问题。
**Topics**
+ [我无权在以下位置执行操作 FSx](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想允许我以外的人 AWS 账户 访问我的 FSx 资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在以下位置执行操作 FSx
如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。
当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `fsx:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
在此情况下,必须更新 `mateojackson` 用户的策略,以允许使用 `fsx:GetWidget` 操作访问 `my-example-widget` 资源。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我无权执行 iam:PassRole
如果您收到一条错误消息,提示您无权执行该`iam:PassRole`操作,则必须更新您的策略以允许您将角色传递给 Windows File Server。 FSx
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为的 IAM 用户`marymajor`尝试使用控制台在 Windows 文件服务器中 FSx 执行操作时,会出现以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想允许我以外的人 AWS 账户 访问我的 FSx 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 Window FSx s 文件服务器是否支持这些功能,请参阅[FSx 适用于 Windows 的 Amazon 文件服务器如何与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 在 Amazon 上使用标签 FSx
您可以使用标签来控制对 Amazon FSx 资源的访问权限并实现基于属性的访问控制 (ABAC)。用户需要有权在创建期间对 Amazon FSx 资源应用标签。
## 在创建过程中授予标记资源的权限
一些 FSx 为 Windows 文件服务器创建资源的 API 操作允许您在创建资源时指定标签。您可以使用资源标签来实现基于属性的访问权限控制(ABAC)。有关更多信息,请参阅《IAM 用户指南》**中的[什么是适用于 AWS的 ABAC?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
为使用户能够在创建时为资源添加标签,他们必须具有使用创建该资源的操作(如 `fsx:CreateFileSystem` 或 `fsx:CreateBackup`)的权限。如果在资源创建操作中指定了标签,则 Amazon 会对 `fsx:TagResource` 操作执行额外的授权,以验证用户是否具备创建标签的权限。因此,用户还必须具有使用 `fsx:TagResource` 操作的显式权限。
以下示例演示了一个策略,该策略允许用户在特定文件系统中创建文件系统并在创建文件系统时将标签应用于文件系统 AWS 账户。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*"
}
]
}
```
同样,下面的策略允许用户在特定文件系统上创建备份,并在创建备份的过程中向备份应用任何标签。
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
仅当用户在资源创建操作中应用了标签时,系统才会评估 `fsx:TagResource` 操作。因此,如果未在此请求中指定任何标签,则拥有创建资源权限(假定没有标记条件)的用户无需具备使用 `fsx:TagResource` 操作的权限。但是,如果用户不具备使用 `fsx:TagResource` 操作的权限而又试图创建带标签的资源,则请求将失败。
有关为 Amazon FSx 资源添加标签的更多信息,请参阅[为 Amazon FSx 资源贴标签](tag-resources.md)。有关使用标签控制 FSx 资源访问权限的更多信息,请参阅[使用标签控制对您的 Amazon FSx 资源的访问权限](#restrict-fsx-access-tags)。
## 使用标签控制对您的 Amazon FSx 资源的访问权限
要控制对 Amazon FSx 资源和操作的访问权限,您可以使用基于标签的 AWS Identity and Access Management (IAM) 策略。您可以使用两种方法提供控制:
1. 根据这些 FSx 资源上的标签控制对 Amazon 资源的访问权限。
1. 控制可以在 IAM 请求条件中传递的标签。
有关如何使用标签控制 AWS 资源访问的信息,请参阅 *IAM 用户指南*中的[使用标签控制访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。有关在创建 Amazon FSx 资源时标记 Amazon 资源的更多信息,请参阅[在创建过程中授予标记资源的权限](#supported-iam-actions-tagging)。有关标记资源的更多信息,请参阅[为 Amazon FSx 资源贴标签](tag-resources.md)。
### 根据资源上的标签控制访问权限
要控制用户或角色可以对 Amazon FSx 资源执行的操作,您可以在资源上使用标签。例如,您可能希望根据文件系统资源上的标签的键/值对允许或拒绝对该资源执行特定的 API 操作。
**Example 策略 – 提供特定标签时在其上创建文件系统**
只有当用户使用特定标签键值对标记文件系统时,此策略才允许用户创建文件系统,在本示例中为 `key=Department, value=Finance`。
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example 策略 — 仅创建带有特定标签的 Amazon FSx 文件系统的备份**
此策略允许用户仅在标有键值对 `key=Department, value=Finance` 的文件系统上创建备份,并且将使用该 `Deparment=Finance` 标签创建备份。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example 策略 – 通过带有特定标签的备份创建带有特定标签的文件系统**
此策略允许用户仅通过带有 `Department=Finance` 标签的备份创建带有 `Department=Finance` 标签的文件系统。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example 策略 – 删除带有特定标签的文件系统**
此策略允许用户删除带有 `Department=Finance` 标签的文件系统。如果他们创建了最终备份,则必须使用 `Department=Finance` 标记。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# 使用适用于 Windows 文件服务器 FSx 的服务相关角色
FSx 适用于 Windows 的文件服务器的亚马逊使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特的 IAM 角色类型,直接链接到 Window FSx s 文件服务器。服务相关角色由 FSx Windows File Server 预定义,包括该服务代表你调用其他 AWS 服务所需的所有权限。
与服务相关的角色可以更轻松地设置 FSx Windows 文件服务器,因为您不必手动添加必要的权限。 FSx 对于 Windows 文件服务器定义其服务相关角色的权限,除非另行定义,否则只有 FSx Windows 文件服务器可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这可以保护你 FSx 的 Windows 文件服务器资源,因为你不能无意中删除访问这些资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## Windows 文件服务器 FSx 的服务相关角色权限
FSx 适用于 Windows File Server 使用名为 `AWSServiceRoleForAmazonFSx` — 的服务相关角色在您的账户中执行某些操作,例如在 VPC 中为文件系统创建弹性网络接口。
角色权限策略允许 FSx Windows 文件服务器对所有适用 AWS 资源完成以下操作:
您不能将 Amazon 附加FSxServiceRolePolicy 到您的 IAM 实体。此策略附加到服务相关角色, FSx 允许您代表您管理 AWS 资源。有关更多信息,请参阅 [使用适用于 Windows 文件服务器 FSx 的服务相关角色](#using-service-linked-roles)。
有关此策略的更新,请参阅 [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy)。
此策略授予管理权限, FSx 允许代表用户管理 AWS 资源。
**权限详细信息**
亚马逊FSxServiceRolePolicy 角色权限由亚马逊FSxServiceRolePolicy AWS 托管策略定义。Amazon FSx ServiceRolePolicy 拥有以下权限:
**注意**
所有亚马逊 FSx 文件系统类型FSxServiceRolePolicy 都使用亚马逊;列出的某些权限可能不适用 FSx 于 Windows。
+ `ds`— FSx 允许查看、授权和取消对 Directory Service 目录中的应用程序的授权。
+ `ec2`— FSx 允许执行以下操作:
+ 查看、创建和取消关联与 Amazon FSx 文件系统关联的网络接口。
+ 查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。
+ 查看与亚马逊 FSx 文件系统关联的亚马逊 VPCs、安全组和子网。
+ 为带有`AmazonFSx.FileSystemId`标签的客户网络接口分配 IPv6 地址。
+ 取消分配 IPv6 带有`AmazonFSx.FileSystemId`标签的客户网络接口的地址。
+ 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ 为获得 AWS授权的用户创建在网络接口上执行某些操作的权限。
+ `cloudwatch`— FSx 允许将指标数据点发布到 AWS/FSx 命名空间 CloudWatch 下。
+ `route53`— 允许 FSx 将 Amazon VPC 与私有托管区域关联。
+ `logs`— FSx 允许描述和写入 CloudWatch 日志日志流。这样,用户就可以将 Windows 文件服务器文件系统的文件访问审核日志发送到 CloudWatch 日志流。 FSx
+ `firehose`— FSx 允许描述和写入 Amazon Data Firehose 传送流。这样,用户就可以将适用于 Windows 文件服务器的文件系统的文件访问审核日志发布到 Amazon Data Firehose 传输流。 FSx
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
[亚马逊 FSx 更新了托 AWS 管政策](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 中介绍了本政策的所有更新。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 Windows 文件服务器创建服务相关角色 FSx
您无需手动创建服务关联角色。当你在中创建文件系统时 AWS 管理控制台, FSx 适用于 Windows 文件服务器的 IAM CLI 或 IAM API 会为你创建服务相关角色。
**重要**
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。要了解更多信息,请参阅[我的 IAM 账户中的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。创建文件系统时, FSx Windows 文件服务器会再次为您创建服务相关角色。
## 编辑 Windows 文件服务器 FSx 的服务相关角色
FSx Windows 文件服务器不允许您编辑服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Windows 文件服务器 FSx 的服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先删除所有文件系统和备份,然后才能手动删除服务关联角色。
**注意**
如果您尝试删除资源时, FSx 适用于 Windows 的文件服务器的服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、IAM CLI 或 IAM API 删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Windows 文件服务器服务相关角色支持的区域 FSx
FSx Windows File Server 支持在提供服务的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
# 适用于 Windows File Server 的 Amazon FSx 合规性验证
要了解某个 AWS 服务是否在特定合规性计划范围内,请参阅[合规性计划范围内的 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/),然后选择您感兴趣的合规性计划。有关常规信息,请参阅 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)、、。
您可以使用 AWS Artifact 下载第三方审计报告。有关更多信息,请参阅[在 AWS Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)、。
您在使用 AWS 服务 时的合规性责任由您的数据的敏感性、您公司的合规性目标以及适用的法律法规决定。有关您在使用 AWS 服务时的合规责任的更多信息,请参阅 [AWS 安全性文档](https://docs.aws.amazon.com/security/)。
# 适用于 Windows File Server 的 Amazon FSx 和接口 VPC 端点
您可以将 Amazon FSx 配置为使用接口 VPC 端点以改善 VPC 的安全状况。接口 VPC 端点由 [AWS PrivateLink](https://aws.amazon.com/privatelink) 提供支持,该技术支持您通过私密方式访问 Amazon FSx API,而无需采用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。VPC 中的实例即使没有公有 IP 地址也可与 Amazon FSx API 进行通信。VPC 和 Amazon FSx 之间的流量不会脱离 AWS 网络。
每个接口 VPC 端点均由子网中的一个或多个弹性网络接口表示。网络接口提供一个私有 IP 地址,此地址可用作指向 Amazon FSx API 的流量的入口点。Amazon FSx 支持使用仅 IPv4 和双堆栈(IPv4 和 IPv6)IP 地址类型配置的 VPC 端点。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[创建接口 VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
## Amazon FSx 接口 VPC 端点注意事项
请务必先查看《Amazon VPC 用户指南》**中的[接口 VPC 端点属性和限制](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations),然后再为 Amazon FSx 设置接口 VPC 端点。
您可以从 VPC 调用任何 Amazon FSx API 操作。例如,您可以通过从 VPC 中调用 CreateFileSystem API 来创建 FSx for Windows File Server 文件系统。有关 Amazon FSx API 的完整列表,请参阅 Amazon FSx API 参考中的[操作](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html)。
### VPC 对等连接注意事项
可通过 VPC 对等连接,将其他 VPC 连接到有接口 VPC 端点的 VPC。VPC 对等连接是两个 VPC 之间的网络连接。您可以在自己的两个 VPC 之间建立 VPC 对等连接,或者与其他 AWS 账户 中的 VPC 之间建立此连接。VPC 也可以位于两个不同的 AWS 区域 中。
对等 VPC 之间的流量保留在 AWS 网络上,不会穿越公共互联网。建立对等 VPC 连接后,两个 VPC 中的资源,如 Amazon Elastic Compute Cloud(Amazon EC2)实例,可以通过在其中一个 VPC 中创建的接口 VPC 端点访问 Amazon FSx API。
## 为 Amazon FSx API 创建接口 VPC 端点
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface(AWS CLI)为 Amazon FSx API 创建 VPC 端点。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[创建接口 VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)。
要为 Amazon FSx 创建接口 VPC 端点,请执行以下操作之一:
+ `com.amazonaws.region.fsx` – 为 Amazon FSx API 操作创建端点。
+ **`com.amazonaws.region.fsx-fips`** – 为 Amazon FSx API 创建符合[美国联邦信息处理标准(FIPS)140-2](https://aws.amazon.com/compliance/fips/) 的端点。
要使用私有 DNS 选项,您必须设置 VPC 的 `enableDnsHostnames` 和 `enableDnsSupport` 属性。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[查看和更新 VPC 的 DNS 支持](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
除中国的 AWS 区域 外,如果您为端点启用私有 DNS,则可以将其默认 DNS 名称用于 AWS 区域(例如 `fsx.us-east-1.amazonaws.com`),从而通过 VPC 端点向 Amazon FSx 发出 API 请求。对于中国(北京)和中国(宁夏)AWS 区域,您可以通过 VPC 端点分别使用 `fsx-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cn` 和 `fsx-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn` 发出 API 请求。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[通过接口 VPC 端点访问服务](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。
## 为 Amazon FSx 创建 VPC 端点策略
要进一步控制对 Amazon FSx API 的访问,您可以选择向 VPC 端点附加 AWS Identity and Access Management(IAM)policy。此策略指定以下内容:
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》**中的[使用 VPC 端点控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)。