AWS Amazon 的受管政策 EFS - Amazon Elastic File System
AmazonElasticFileSystemFullAccessAmazonElasticFileSystemReadOnlyAccessAmazonElasticFileSystemClientReadWriteAccess政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon 的受管政策 EFS

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。

如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略

AWS 受管理的策略: AmazonElasticFileSystemFullAccess

您可以將AmazonElasticFileSystemFullAccess原則附加至您的IAM身分識別。

此政策授予管理許可,允許完整存取 Amazon EFS 並 AWS 透過 AWS Management Console.

許可詳細資訊

此政策包含以下許可。

  • elasticfilesystem— 允許校長在 Amazon 主EFS控台中執行所有動作。它也允許主體使 AWS Backup用建立 (elasticfilesystem:Backup) 和還原 (elasticfilesystem:Restore) 備份。

  • cloudwatch— 允許校長在 Amazon 主EFS控台中描述 Amazon CloudWatch 檔案系統指標和指標的警示。

  • ec2— 允許主體在 Amazon 主控台中建立、刪除和描述網路界面、描述和修改網路界面屬性、描述可用區域、安全群組、子網路、虛擬私有雲端 (VPCs) 以及與 Amazon EFS 檔案系統相關聯的VPC屬性。EFS

  • kms— 允許主體列出 AWS Key Management Service (AWS KMS) 金鑰的別名,並在 Amazon 主EFS控台中描述KMS金鑰。

  • iam— 授予建立服務連結角色的權限,EFS以允許 Amazon 代表使用者管理 AWS 資源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:GetMetricData",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute",
                "elasticfilesystem:Backup",
                "elasticfilesystem:CreateFileSystem",
                "elasticfilesystem:CreateMountTarget",
                "elasticfilesystem:CreateTags",
                "elasticfilesystem:CreateAccessPoint",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DeleteFileSystem",
                "elasticfilesystem:DeleteMountTarget",
                "elasticfilesystem:DeleteTags",
                "elasticfilesystem:DeleteAccessPoint",
                "elasticfilesystem:DeleteFileSystemPolicy",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:DescribeAccountPreferences",
                "elasticfilesystem:DescribeBackupPolicy",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeFileSystemPolicy",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeMountTargetSecurityGroups",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DescribeTags",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:ModifyMountTargetSecurityGroups",
                "elasticfilesystem:PutAccountPreferences",
                "elasticfilesystem:PutBackupPolicy",
                "elasticfilesystem:PutLifecycleConfiguration",
                "elasticfilesystem:PutFileSystemPolicy",
                "elasticfilesystem:UpdateFileSystem",
                "elasticfilesystem:UpdateFileSystemProtection",
                "elasticfilesystem:TagResource",
                "elasticfilesystem:UntagResource",
                "elasticfilesystem:ListTagsForResource",                
                "elasticfilesystem:Restore",
                "kms:DescribeKey",
                "kms:ListAliases"
            ],

            "Sid": "ElasticFileSystemFullAccess",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Sid": "CreateServiceLinkedRoleForEFS",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "elasticfilesystem.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AWS 受管理的策略: AmazonElasticFileSystemReadOnlyAccess

您可以將AmazonElasticFileSystemReadOnlyAccess原則附加至您的IAM身分識別。

此政策授予 Amazon 的唯讀訪問權限EFS通過 AWS Management Console.

許可詳細資訊

此政策包含以下許可。

  • elasticfilesystem— 允許主體在 Amazon 主EFS控台描述 Amazon EFS 檔案系統的屬性,包括帳戶偏好設定、備份和檔案系統政策、生命週期組態、掛載目標及其安全群組、標籤和存取點。

  • cloudwatch— 允許校長在 Amazon 主EFS控台擷取 CloudWatch 指標並描述指標的警示。

  • ec2— 允許主體在 Amazon EFS 主控台中檢視可用區域、網路界面及其屬性、安全群組、子網路VPCs及其屬性。

  • kms— 允許主體在 Amazon 主EFS控台中列出 AWS KMS 金鑰的別名。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ElasticFileSystemReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:GetMetricData",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcs",
                "elasticfilesystem:DescribeAccountPreferences",
                "elasticfilesystem:DescribeBackupPolicy",
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:DescribeFileSystemPolicy",
                "elasticfilesystem:DescribeLifecycleConfiguration",
                "elasticfilesystem:DescribeMountTargets",
                "elasticfilesystem:DescribeMountTargetSecurityGroups",                
                "elasticfilesystem:DescribeTags",
                "elasticfilesystem:DescribeAccessPoints",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:ListTagsForResource",
                "kms:ListAliases"
            ],
            
            "Resource": "*"
        }
    ]
}

AWS 受管理的策略: AmazonElasticFileSystemClientReadWriteAccess

您可以將AmazonElasticFileSystemClientReadWriteAccess原則附加至實IAM體。

此政策授予讀取和寫入用戶端存取 Amazon EFS 檔案系統。此政策允許NFS用戶端掛載、讀取和寫入 Amazon EFS 檔案系統。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        }
    ]
}

Amazon EFS 更新受 AWS 管政策

檢視有關 Amazon AWS 受管政策更新的詳細資訊,EFS因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱 Amazon EFS 文件歷史紀錄 頁面上的RSS摘要。

變更 描述 日期

更新至現有政策

 政策:AmazonElasticFileSystemReadOnlyAccess

Amazon EFS 添加了Sid(語句 ID)元素的政策聲明。Sid 值是 ElasticFileSystemReadOnlyAccess

 2024年8月7日

更新至現有政策

 政策:AmazonElasticFileSystemFullAccess

Amazon EFS 添加了新的許可,允許校長在文件系統上禁用和啟用保護。需要許可才能允許 Amazon 複寫EFS到現有的檔案系統。

 2023 年 11 月 27 日

更新至現有政策

政策:AmazonElasticFileSystemServiceRolePolicy

Amazon EFS 增加了新的許可,允許校長建立、描述和刪除 Amazon EFS 複製,以及建立 Amazon EFS 檔案系統。需要許可才能讓 Amazon EFS 代表使用者管理檔案系統複寫組態。

 2022 年 1 月 25 日

更新至現有政策

政策:AmazonElasticFileSystemReadOnlyAccess

Amazon EFS 添加了一個新的許可,允許校長描述 Amazon EFS 複製。需要許可才能允許使用者檢視檔案系統複寫組態。

 2022 年 1 月 25 日
更新至現有政策

政策:AmazonElasticFileSystemFullAccess

Amazon EFS 添加了新的許可,以允許校長創建,描述和刪除 Amazon EFS 複製。需要許可才能允許使用者管理檔案系統複寫組態。

 2022 年 1 月 25 日

開始追蹤政策

政策:AmazonElasticFileSystemClientReadWriteAccess

授與NFS用戶端 Amazon EFS 檔案系統的讀取和寫入權限。

 2022 年 1 月 3 日

開始追蹤政策

 政策:AmazonElasticFileSystemServiceRolePolicy

Amazon EFS 的服務鏈接角色許可。

2021 年 10 月 8 日

更新至現有政策

政策:AmazonElasticFileSystemFullAccess

Amazon EFS 添加了新的許可,以允許校長修改和描述 Amazon EFS 帳戶首選項。需要許可才能允許使用者在 Amazon EFS 主控台中檢視和設定帳戶偏好設定。

 2021 年 5 月 7 日

更新至現有政策

政策:AmazonElasticFileSystemReadOnlyAccess

Amazon EFS 添加了新的許可,以允許校長描述 Amazon EFS 帳戶首選項。需要許可才能允許使用者在 Amazon EFS 主控台中檢視帳戶偏好設定。

 2021 年 5 月 7 日

Amazon EFS 開始跟踪變化

Amazon EFS 開始追蹤其 AWS 受管政策的變更。

 2021 年 5 月 7 日