本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 的資源型政策範例 EFSAmazon EFS
在本節中,您可以找到授予或拒絕各種 Amazon EFS動作許可的範例檔案系統政策。Amazon EFS 檔案系統政策有 20,000 個字元的限制。如需資訊行政策元素的資訊,請參閱 Amazon 內的資源型政策 EFS。
重要
如果您在檔案系統政策中授予個別IAM使用者或角色的許可,請勿在政策在檔案系統上生效時刪除或重新建立該使用者或角色。如果上述情況發生,該使用者或角色將遭檔案系統鎖定,且將無法存取。如需詳細資訊,請參閱 IAM 使用者指南 中的指定主體。
如需關於如何建立檔案系統政策的詳細資訊,請參閱 建立檔案系統原則。
範例:授予特定 AWS 角色的讀取和寫入存取權
在此範例中,EFS檔案系統政策具有下列特性:
-
效果是
Allow
。 -
主體設定為在 AWS 帳戶中的 Testing_Role。
-
動作設定為
ClientMount
(可讀) 和ClientWrite
。 -
授與許可的條件設定為
AccessedViaMountTarget
。
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
範例:授予只讀存取權
下列檔案系統政策僅授予 ClientMount
或唯讀角色 EfsReadOnly IAM許可。
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
若要了解如何設定其他檔案系統政策,包括拒絕所有IAM主體的根存取權,除了特定管理工作站之外,請參閱 使用NFS用戶端IAM的授權啟用根清除。
範例:授予EFS存取點的存取權
您可以使用EFS存取政策,為NFS用戶端提供檔案EFS系統上共用檔案型資料集的應用程式特定檢視。您可以使用檔案系統政策授予檔案系統上的存取點權限。
此檔案政策範例使用條件元素來授予特定存取點,該存取點由其對檔案系統ARN的完整存取權所識別。
如需使用EFS存取點的詳細資訊,請參閱 使用 Amazon EFS 存取點。
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }