封鎖公開存取EFS檔案系統 - Amazon Elastic File System
使用 AWS Transfer Family進行封鎖公開存取「公有」的意義

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

封鎖公開存取EFS檔案系統

Amazon EFS 區塊公開存取功能提供設定,協助您管理EFS檔案系統的公開存取。根據預設,新的EFS檔案系統不允許公開存取。但是,您可以修改檔案系統政策,實現公開存取。

重要

啟用「封鎖公用存取」可防止透過直接附加至檔案系統的資源原則授與公用存取,以協助保護您的資源。除了啟用「封鎖公用存取」之外,請仔細檢查下列原則,以確認其未授予公用存取權:

  • 附加至關聯 AWS 主參與者 (例如,角色) 的識別型原則 IAM

  • 附加至關聯 AWS 資源的以資源為基礎的策略 (例如,AWS Key Management Service (KMS) 鍵)

使用 AWS Transfer Family進行封鎖公開存取

EFS搭配使用 Amazon 時 AWS Transfer Family,如果檔案系統允許公開存取,則從 Transfer Family 伺服器所擁有的檔案系統存取請求會遭到封鎖。Amazon EFS 會評估檔案系統的政IAM策,如果政策是公開的,則會封鎖請求。若要允許 AWS Transfer Family 存取您的檔案系統,請更新您的檔案系統原則,使其不被視為公開。

注意

如果檔案系統具有允許在 2021 年 1 月 6 日之前建立的公用存取政策的EFS檔案系統,則預設情況下會停用 Tran AWS 帳戶 sfer Family 與 Amazon EFS 搭配使用。若要啟用「Transfer Family」來存取您的檔案系統,請聯絡 Sup AWS port 部門。

「公有」的意義

在評估檔案系統是否允許公開存取時,Amazon EFS 會假設檔案系統政策是公開的。然後,根據檔案系統政策評估情況判斷其是否具備非公開條件。若要視為具備非公開條件,檔案系統政策必須僅將存取授予以下一或多個項目的固定值 (不包含萬用字元的值):

  • 一組無類別的網域間路由 (CIDRs),使用. aws:SourceIp 如需有關的詳細資訊CIDR,請參閱RFC編輯器網站上的 RFC4632

  • AWS 主參與者、使用者、角色或服務主體 (例如,aws:PrincipalOrgID)

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:SourceOwner

  • aws:SourceAccount

  • elasticfilesystem:AccessedViaMountTarget

  • aws:userid, outside the pattern "AROLEID:*"

在這些規則之下,下列範例政策視為公開狀態。

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ]
        }
    ]
}

您可以使用EFS條件金鑰elasticfilesystem:AccessedViaMountTarget設定為 true,將此檔案系統原則設為非公開。您可以用elasticfilesystem:AccessedViaMountTarget來允許使用檔案系統掛載目標存取EFS檔案系統的用戶端EFS執行指定的處理行動。下列非公用政策會將 elasticfilesystem:AccessedViaMountTarget 條件索引鍵集設定為 true。

{  
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

如需 Amazon EFS 條件金鑰的詳細資訊,請參閱EFS 用戶端的條件索引鍵。如需建立檔案系統政策的詳細資訊,請參閱 建立檔案系統政策