本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 IAM 控制檔案系統資料存取
您可以使用IAM身分政策和資源政策,以可擴展且針對雲端環境最佳化的方式控制用戶端對 Amazon EFS 資源的存取。使用 IAM,您可以允許用戶端在檔案系統上執行特定動作,包括唯讀、寫入和根存取。IAM 身分政策或檔案系統資源政策中動作的「允許」許可允許存取該動作。身分識別和資源政策均不需要同時授與許可。
NFS 用戶端可以在連線至EFS檔案系統時,使用 IAM角色來識別自己。當用戶端連線至檔案系統時,Amazon 會EFS評估檔案系統IAM的資源政策,稱為檔案系統政策,以及任何身分型IAM政策,以決定要授予的適當檔案系統存取權限。
當您使用NFS用戶端IAM的授權時,用戶端連線和IAM授權決策會記錄到 AWS CloudTrail。如需如何使用 記錄 Amazon EFSAPI呼叫的詳細資訊 CloudTrail,請參閱 記錄 Amazon EFS API 呼叫 AWS CloudTrail。
重要
您必須使用EFS掛載協助程式掛載 Amazon EFS 檔案系統,才能使用IAM授權來控制用戶端存取。如需詳細資訊,請參閱使用IAM授權掛載。
預設EFS檔案系統政策
預設EFS檔案系統政策不會IAM用來進行身分驗證,並授予所有匿名用戶端完整存取權,這些用戶端可以使用掛載目標連線至檔案系統。每當使用者設定的檔案系統政策未生效時,預設政策就會生效,包括在建立檔案系統時。每當預設檔案系統政策生效時,DescribeFileSystemPolicyAPI操作都會傳回PolicyNotFound回應。
EFS 用戶端的動作
您可以使用檔案系統政策,為存取檔案系統的用戶端指定下列動作。
| 動作 | 描述 |
|---|---|
|
|
提供檔案系統的唯讀存取權。 |
|
|
在檔案系統上提供具有寫入權限。 |
|
|
存取檔案系統時,提供使用根使用者的功能。 |
EFS 用戶端的條件索引鍵
欲表示條件,您可以使用預先定義的條件金鑰。Amazon EFS具有下列NFS用戶端的預先定義條件金鑰。使用IAM控制項保護EFS檔案系統的存取時,不會強制執行任何其他條件金鑰。
| EFS 條件索引鍵 | 描述 | 運算子 |
|---|---|---|
aws:SecureTransport |
使用此金鑰要求用戶端在連線至EFS檔案系統TLS時使用 。 |
Boolean |
aws:SourceIp |
存取EFS檔案系統的用戶端私有 IP 地址。 | 字串 |
elasticfilesystem:AccessPointArn |
ARN 用戶端連線的EFS存取點。 | 字串 |
elasticfilesystem:AccessedViaMountTarget |
使用此金鑰可防止未使用EFS檔案系統掛載目標的用戶端存取檔案系統。 | Boolean |
檔案系統政策範例
若要檢視 Amazon EFS 檔案系統政策的範例,請參閱 Amazon 的資源型政策範例 EFSAmazon EFS。
