建立檔案系統原則 - Amazon Elastic File System

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立檔案系統原則

您可以使用 Amazon 主EFS控台或使用 AWS CLI. 您也可以使用或EFSAPI直接使用 Amazon,以程式設計方 AWS SDKs式建立檔案系統政策。EFS檔案系統策略的限制為 20,000 個字元。如需有關使用EFS檔案系統原則和範例的詳細資訊,請參閱使用 IAM 控制檔案系統資料存取

注意

Amazon EFS 檔案系統政策變更可能需要幾分鐘才會生效。

  1. 開啟 Amazon Elastic File System 主控台,位於https://console.aws.amazon.com/efs/

  2. 選擇 File Systems (檔案系統)

  3. File systems (檔案系統) 頁面上,選擇您要編輯或針對其建立檔案系統政策的檔案系統。

  4. 選擇檔案系統政策,然後選擇編輯

  5. 政策選項中,您可以選擇任何預先設定的檔案系統原則組合:

    • 預設情況下防止 root 存取 — 此選項會ClientRootAccess從允許的EFS動作集中移除。

    • 預設情況下強制執行唯讀存取權 — 此選項會ClientWriteAccess從允許的EFS動作集中移除。

    • 防止匿名存取 — 此選項會ClientMount從允許的EFS動作集中移除。

    • 對所有用戶端強制執行傳輸中加密:此選項會拒絕存取未加密的用戶端。

    當您選擇預先設定的原則時,原則JSON物件會顯示在 [原則編輯器] 窗格中。

  6. 使用「授與其他權限」將檔案系統權限授與其他IAM主參與者,包括其 AWS 帳戶他主參與者。選擇 [新增],然後輸入要授與權限之實體ARN的主體。選擇您要授予的許可。其他權限會顯示在「策略編輯器」中。

  7. 您可以使用原則編輯器來自訂預先設定的原則,或建立您自己的檔案系統原則。當您使用編輯器時,預先設定的原則選項將無法使用。若要清除目前的檔案系統原則並開始建立新原則,請選擇清除

    當您清除編輯器時,預先設定的策略會再次變為可用。

  8. 完成編輯策略後,請選擇儲存

在下列範例中,put-file-system-policyCLI命令會建立檔案系統原則,以允許指定的 AWS 帳戶 唯讀存取EFS檔案系統。等效的API命令是PutFileSystemPolicy

aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{ "Id": "1", "Statement": [ { "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount" ], "Principal": { "AWS": "arn:aws:iam::111122223333:root" } } ] }'
{ "FileSystemId": "fs-01234567", "Policy": "{ "Version" : "2012-10-17", "Id" : "1", "Statement" : [ { "Sid" : "efs-statement-7c8d8687-1c94-4fdc-98b7-555555555555", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "elasticfilesystem:ClientMount" ], "Resource" : "arn:aws:elasticfilesystem:us-east-2:555555555555:file-system/fs-01234567" } ] } }