Amazon Elastic File System 的操作、资源和条件键

Amazon Elastic File System（服务前缀：elasticfilesystem）提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考：

了解如何配置该服务。
查看此服务可用的API操作列表。
了解如何使用 IAM 权限策略保护该服务及其资源。

主题

Amazon Elastic File System 定义的操作
Amazon Elastic File System 定义的资源类型
Amazon Elastic File System 的条件键

Amazon Elastic File System 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。当您在策略中使用操作时，通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下，单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值，您必须在策略语句的 Resource 元素中指定策略应用的所有资源（“*”）。如果该列包含资源类型，则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源，则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource元素限制资源访问权限，则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的（未指示为必需），则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息，请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型（* 为必需）列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列，这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息，请参阅操作表。

操作	描述	访问级别	资源类型（* 为必需）	条件键	相关操作
Backup[仅权限]	授予为现有文件系统启动备份作业的权限	Write	file-system*
ClientMount[仅权限]	授予允许NFS客户机对文件系统进行读取访问的权限	读取	file-system*
ClientMount[仅权限]	授予允许NFS客户机对文件系统进行读取访问的权限	读取		elasticfilesystem:AccessPointArn elasticfilesystem:AccessedViaMountTarget
ClientRootAccess[仅权限]	授予允许NFS客户端 root 用户访问文件系统的权限	写入	file-system*
ClientRootAccess[仅权限]	授予允许NFS客户端 root 用户访问文件系统的权限	写入		elasticfilesystem:AccessPointArn elasticfilesystem:AccessedViaMountTarget
ClientWrite[仅权限]	授予允许NFS客户机对文件系统进行写入访问的权限	写入	file-system*
ClientWrite[仅权限]	授予允许NFS客户机对文件系统进行写入访问的权限	写入		elasticfilesystem:AccessPointArn elasticfilesystem:AccessedViaMountTarget
CreateAccessPoint	授予为指定文件系统创建访问点的权限	Write	file-system*		elasticfilesystem:TagResource
CreateAccessPoint	授予为指定文件系统创建访问点的权限	Write		aws:TagKeys aws:RequestTag/${TagKey}
CreateFileSystem	授予创建新的空文件系统的权限	Write		aws:RequestTag/${TagKey} aws:TagKeys elasticfilesystem:Encrypted	elasticfilesystem:TagResource
CreateMountTarget	授予为文件系统创建挂载目标的权限	写入	file-system*
CreateReplicationConfiguration	授予权限以创建新的复制配置	写入	file-system*
CreateTags	授予创建或覆盖与文件系统关联的标签的权限；已弃用，请参阅 TagResource	标记	file-system*
CreateTags	授予创建或覆盖与文件系统关联的标签的权限；已弃用，请参阅 TagResource	标记		aws:RequestTag/${TagKey} aws:TagKeys
DeleteAccessPoint	授予删除指定访问点的权限	Write	access-point*
DeleteFileSystem	授予删除文件系统的权限，永久终止访问其内容	Write	file-system*
DeleteFileSystemPolicy	授予权限以删除文件系统的资源级策略	权限管理	file-system*
DeleteMountTarget	授予权限以删除指定挂载目标	写入	file-system*
DeleteReplicationConfiguration	授予权限以删除复制配置	写入	file-system*
DeleteTags	授予从文件系统中删除指定标签的权限；已弃用，请参阅 UntagResource	标记	file-system*
DeleteTags	授予从文件系统中删除指定标签的权限；已弃用，请参阅 UntagResource	标记		aws:TagKeys
DescribeAccessPoints	授予查看 Amazon EFS 接入点描述的权限	列出	access-point
DescribeAccessPoints	授予查看 Amazon EFS 接入点描述的权限	列出	file-system
DescribeAccountPreferences	授予查看对账户有效的账户首选项的权限	列出
DescribeBackupPolicy	授予查看 Amazon EFS 文件系统 BackupPolicy 对象的权限	读取	file-system*
DescribeFileSystemPolicy	授予查看 Ama EFS zon 文件系统的资源级策略的权限	读取	file-system
DescribeFileSystems	授予权限以查看由EFS文件系统指定的 Amazon 文件系统的描述 CreationToken 或 FileSystemId；或查看调用者 AWS 账户在被调用的终端节点 AWS 所在区域内拥有的所有文件系统的描述	列出	file-system
DescribeLifecycleConfiguration	授予查看 Amazon EFS 文件系统 LifecycleConfiguration 对象的权限	读取	file-system*
DescribeMountTargetSecurityGroups	授予查看挂载目标的有效安全组的权限	Read	file-system*
DescribeMountTargets	授予查看文件系统所有或特定挂载目标的描述的权限	读取	file-system*
DescribeMountTargets	授予查看文件系统所有或特定挂载目标的描述的权限	读取	access-point
DescribeReplicationConfigurations	授予权限以查看由指定的 Amazon EFS 复制配置的描述 FileSystemId；或查看调用者 AWS 账户在被调用的终端节点 AWS 所在区域内拥有的所有复制配置的描述	列出	file-system
DescribeTags	授予查看与文件系统关联的标签的权限	读取	file-system*
ListTagsForResource	授予权限以查看与指定 Amazon EFS 资源关联的标签	读取	access-point
ListTagsForResource	授予权限以查看与指定 Amazon EFS 资源关联的标签	读取	file-system
ModifyMountTargetSecurityGroups	授予修改挂载目标的一组有效安全组的权限	Write	file-system*
PutAccountPreferences	授予设置账户的账户首选项的权限	写入
PutBackupPolicy	授予通过创建新 BackupPolicy 对象启用或禁用 Backup 自动 AWS 备份的权限	写入	file-system*
PutFileSystemPolicy	授予权限以应用资源级策略，该策略定义了指定文件系统中给定参与者允许或拒绝的操作	权限管理	file-system*
PutLifecycleConfiguration	通过创建新 LifecycleConfiguration 对象授予启用生命周期管理的权限	写入	file-system*
ReplicationRead[仅权限]	授予读取文件系统数据以进行复制的权限	读取	file-system*
ReplicationWrite[仅权限]	授予将数据复制到文件系统的权限	写入	file-system*
Restore[仅权限]	授予启动文件系统备份的还原作业的权限	写入	file-system*
TagResource	授予创建或覆盖与指定 Amazon EFS 资源关联的标签的权限	标记	access-point
			file-system
				aws:RequestTag/${TagKey} aws:TagKeys elasticfilesystem:CreateAction
UntagResource	授予从 Amazon EFS 资源中删除指定标签的权限	标记	access-point
			file-system
				aws:TagKeys
UpdateFileSystem	授予更新现有文件系统的吞吐量模式或预置吞吐量的权限	写入	file-system*
UpdateFileSystemProtection	授予更新现有文件系统的文件系统保护的权限	写入	file-system*

Amazon Elastic File System 定义的资源类型

以下资源类型是由该服务定义的，可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键，从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息，请参阅资源类型表。

资源类型	ARN	条件键
file-system	`arn:${Partition}:elasticfilesystem:${Region}:${Account}:file-system/${FileSystemId}`	aws:ResourceTag/${TagKey}
access-point	`arn:${Partition}:elasticfilesystem:${Region}:${Account}:access-point/${AccessPointId}`	aws:ResourceTag/${TagKey}

Amazon Elastic File System 的条件键

Amazon Elastic File System 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息，请参阅条件键表。

要查看适用于所有服务的全局条件键，请参阅可用的全局条件键。

条件键	描述	类型
aws:RequestTag/${TagKey}	按请求中允许的标签键值对筛选访问	字符串
aws:ResourceTag/${TagKey}	按某个资源的标签键值对筛选访问	字符串
aws:TagKeys	按请求中允许的标签键列表筛选访问	ArrayOfString
elasticfilesystem:AccessPointArn	按用于装载文件系统的接入点筛选访问权限 ARN	ARN
elasticfilesystem:AccessedViaMountTarget	按是否通过挂载目标访问文件系统筛选访问	布尔型
elasticfilesystem:CreateAction	按资源API创建操作的名称筛选访问权限	String
elasticfilesystem:Encrypted	按用户是否只能创建加密还是未加密的文件系统来筛选访问	Bool

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS 弹性灾难恢复

Amazon Elastic Inference