Amazon 的資源型政策範例 EFSAmazon EFS - Amazon Elastic File System

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 的資源型政策範例 EFSAmazon EFS

在本節中,您可以找到授予或拒絕各種 Amazon EFS動作許可的範例檔案系統政策。Amazon EFS 檔案系統政策有 20,000 個字元的限制。如需資訊行政策元素的資訊,請參閱 Amazon 內的資源型政策 EFS

重要

如果您在檔案系統政策中授予個別IAM使用者或角色的許可,請勿在政策在檔案系統上生效時刪除或重新建立該使用者或角色。如果上述情況發生,該使用者或角色將遭檔案系統鎖定,且將無法存取。如需詳細資訊,請參閱 IAM 使用者指南 中的指定主體

如需關於如何建立檔案系統政策的詳細資訊,請參閱 建立檔案系統原則

範例:授予特定 AWS 角色的讀取和寫入存取權

在此範例中,EFS檔案系統政策具有下列特性:

  • 效果是 Allow

  • 主體設定為在 AWS 帳戶中的 Testing_Role。

  • 動作設定為 ClientMount (可讀) 和 ClientWrite

  • 授與許可的條件設定為 AccessedViaMountTarget

{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }

範例:授予只讀存取權

下列檔案系統政策僅授予 ClientMount或唯讀角色 EfsReadOnly IAM許可。

{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }

若要了解如何設定其他檔案系統政策,包括拒絕所有IAM主體的根存取權,除了特定管理工作站之外,請參閱 使用NFS用戶端IAM的授權啟用根清除

範例:授予EFS存取點的存取權

您可以使用EFS存取政策,為NFS用戶端提供檔案EFS系統上共用檔案型資料集的應用程式特定檢視。您可以使用檔案系統政策授予檔案系統上的存取點權限。

此檔案政策範例使用條件元素來授予特定存取點,該存取點由其對檔案系統ARN的完整存取權所識別。

如需使用EFS存取點的詳細資訊,請參閱 使用 Amazon EFS 存取點

{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }