本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 資源型政策範例 EFSAmazon EFS
在本節中,您可以找到授與或拒絕各種 Amazon EFS 動作許可的範例檔案系統政策。Amazon EFS 檔案系統政策的限制為 20,000 個字元。如需資訊行政策元素的資訊,請參閱 Amazon 內基於資源的政策 EFS。
重要
如果您將權限授與檔案系統原則中的個別IAM使用者或角色,請勿在原則對檔案系統生效時刪除或重新建立該使用者或角色。如果上述情況發生,該使用者或角色將遭檔案系統鎖定,且將無法存取。如需詳細資訊,請參閱《使用指南》中的〈指定主參與IAM者〉。
如需關於如何建立檔案系統政策的詳細資訊,請參閱 建立檔案系統原則。
範例:授與特定 AWS 角色的讀取和寫入存取權
在此範例中,EFS檔案系統原則具有下列特性:
-
效果是
Allow。 -
主體設定為在 AWS 帳戶中的 Testing_Role。
-
動作設定為
ClientMount(可讀) 和ClientWrite。 -
授與許可的條件設定為
AccessedViaMountTarget。
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
範例:授予只讀存取權
下列檔案系統原則僅授與ClientMount EfsReadOnly IAM角色或唯讀權限。
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
若要瞭解如何設定其他檔案系統原則,包括拒絕所有IAM主參與者的根存取權 (特定管理工作站除外),請參閱。使用用戶端的IAMNFS授權啟用根擠壓
範例:授與存取點的EFS存取權
您可以使用EFS存取原則,為用NFS戶端提供檔案系統上共用EFS檔案型資料集的應用程式特定檢視。您可以使用檔案系統政策授予檔案系統上的存取點權限。
此檔案原則範例會使用條件元素來授與特定存取點,該存取點可透過其對檔案系統的ARN完整存取權來識別。
如需使用EFS存取點的更多資訊,請參閱使用 Amazon EFS 存取點。
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }
