Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für ressourcenbasierte Richtlinien für Amazon EFS
In diesem Abschnitt finden Sie Beispielrichtlinien für Dateisysteme, die Berechtigungen für verschiedene Amazon-EFS-Aktionen erteilen oder verweigern. Die Zeichenbeschränkung von EFS-Dateisystemrichtlinien liegt bei 20.000. Hinweise zu den Elementen einer ressourcenbasierten Richtlinie finden Sie unter Ressourcenbasierte Richtlinien in Amazon EFS.
Wichtig
Wenn Sie einem einzelnen IAM-Benutzer oder einer einzelnen IAM-Rolle in einer Dateisystemrichtlinie Berechtigungen erteilen, sollten Sie diesen Benutzer oder diese Rolle nicht löschen oder neu erstellen, solange die Richtlinie noch auf dem Dateisystem gültig ist. Wenn dies der Fall ist, wird dieser Benutzer oder diese Rolle effektiv für das Dateisystem gesperrt und kann nicht darauf zugreifen. Weitere Informationen finden Sie unter Angeben eines Prinzipals im IAM-Benutzerhandbuch.
Informationen zum Erstellen von Richtlinien für ein Dateisystem finden Sie unter Erstellen von Dateisystemrichtlinien.
Themen
Beispiel: Erteilen Sie einer bestimmten Rolle Lese- und Schreibzugriff AWS
Diese EFS-Dateisystemrichtlinie weist folgende Merkmale auf:
-
Der Effekt ist
Allow. -
Der Prinzipal ist auf die Testing_Role im AWS-Konto gesetzt.
-
Die Aktion ist auf
ClientMount(Lesen) undClientWriteeingestellt. -
Die Bedingung für die Erteilung von Berechtigungen ist auf
AccessedViaMountTargetgesetzt.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
Beispiel: Erteilen von schreibgeschütztem Zugriff
Die folgende Dateisystemrichtlinie gewährt ClientMount der EfsReadOnly IAM-Rolle nur oder nur Leseberechtigungen.
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
Weitere Informationen zum Festlegen zusätzlicher Dateisystemrichtlinien, einschließlich der Verweigerung des Root-Zugriffs für alle IAM-Prinzipale, mit Ausnahme einer bestimmten Management Workstation, finden Sie unter Aktivieren Sie Root-Squashing mithilfe der IAM-Autorisierung für NFS-Clients.
Beispiel: Zugriff auf einen EFS-Zugriffspunkt gewähren
Sie verwenden eine EFS-Zugriffsrichtlinie, um einem NFS-Client die anwendungsspezifische Ansicht freigegebener dateibasierter Datensätze auf einem EFS-Dateisystem zu ermöglichen. Sie gewähren die Zugangspunktberechtigungen auf dem Dateisystem mithilfe einer Dateisystemrichtlinie.
In diesem Beispiel für eine Dateirichtlinie wird ein Bedingungselement verwendet, um einem bestimmten Zugangspunkt, der durch seinen ARN definiert ist, uneingeschränkten Zugriff auf das Dateisystem zu gewähren.
Weitere Hinweise zu EFS-Zugangspunkten finden Sie unter Arbeiten mit Zugriffspunkten.
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }
