Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Trabajo con puntos de acceso
Los *puntos de acceso* de EFS son puntos de entrada específicos de la aplicación a un sistema de archivos de EFS que facilitan la administración del acceso de las aplicaciones a conjuntos de datos compartidos. Los puntos de acceso pueden imponer una identidad de usuario, incluidos los grupos POSIX del usuario, para todas las solicitudes del sistema de archivos que se realizan a través del punto de acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema de archivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sus subdirectorios.
Puede usar políticas AWS Identity and Access Management (IAM) para imponer que aplicaciones específicas usen un punto de acceso específico. Al combinar políticas de IAM con puntos de acceso, puede proporcionar fácilmente acceso seguro a conjuntos de datos específicos para sus aplicaciones.
Puede crear puntos de acceso para un sistema de archivos EFS existente mediante Consola de administración de AWS, AWS Command Line Interface (AWS CLI) y la API Amazon EFS. Para conocer step-by-step los procedimientos para crear un punto de acceso, consulte[Crear puntos de acceso](create-access-point.md).
## Los puntos de acceso funcionan con destinos de montaje
Debe crear al menos un destino de montaje en la VPC para utilizar puntos de acceso. Los destinos de montaje proporcionan la conectividad de red al sistema de archivos de EFS, mientras que los puntos de acceso proporcionan el control de acceso y los puntos de entrada específicos de la aplicación.
Los puntos de acceso heredan la ubicación en la zona de disponibilidad del destino de montaje.
+ Los grupos de seguridad se aplican en el nivel de destino de montaje, no por punto de acceso.
+ Los puntos de acceso están disponibles en todas las zonas de disponibilidad en las que haya destinos de montaje.
+ La clave de condición de IAM `elasticfilesystem:AccessedViaMountTarget` garantiza que el acceso al sistema de archivos solo se produzca a través de los destinos de montaje, lo que se aplica tanto a los montajes directos como a los montajes desde puntos de acceso.
Utilice el ayudante de montaje EFS al montar un sistema de archivos mediante un punto de acceso. En el comando mount, incluya el ID del sistema de archivos, el ID del punto de acceso y la opción de montaje `tls`, como se muestra en el siguiente ejemplo.
```
$ mount -t efs -o tls,iam,accesspoint=fsap-abcdef0123456789a fs-abc0123def456789a: /localmountpoint
```
Para obtener más información sobre el montaje de sistemas de archivos mediante un punto de acceso, consulte [Montaje con puntos de acceso de EFS](mounting-access-points.md).
**Topics**
+ [Los puntos de acceso funcionan con destinos de montaje](#accesspoints-and-mount-targets)
+ [Aplicación de una identidad de usuario mediante un punto de acceso](enforce-identity-access-points.md)
+ [Aplicación de un directorio raíz con un punto de acceso](enforce-root-directory-access-point.md)
+ [Uso de puntos de acceso en políticas de IAM](access-points-iam-policy.md)
# Aplicación de una identidad de usuario mediante un punto de acceso
Puede utilizar un punto de acceso para aplicar información de usuario y grupo para todas las solicitudes del sistema de archivos realizadas a través del punto de acceso. Para habilitar esta característica, debe especificar la identidad del sistema operativo que se aplicará al crear el punto de acceso.
Como parte de esto, proporciona lo siguiente:
+ ID de usuario: el ID de usuario POSIX numérico para el usuario.
+ ID de grupo: el ID de grupo POSIX numérico para el usuario.
+ Grupo secundario IDs : lista opcional de grupos secundarios IDs.
Cuando la aplicación por parte de los usuarios está habilitada, Amazon EFS reemplaza el usuario y el grupo IDs del cliente de NFS por la identidad configurada en el punto de acceso para todas las operaciones del sistema de archivos. El cumplimiento de los usuarios también hace lo siguiente:
+ El propietario y el grupo de los nuevos archivos y directorios se establecen en el ID de usuario y el ID de grupo del punto de acceso.
+ EFS tiene en cuenta el ID de usuario, el ID de grupo y el grupo secundario IDs del punto de acceso al evaluar los permisos del sistema de archivos. EFS ignora los del cliente NFS. IDs
**importante**
La aplicación de una identidad de usuario está sujeta al permiso `ClientRootAccess` de IAM.
Por ejemplo, en algunos casos puede configurar el ID de usuario del punto de acceso, el ID de grupo o ambos para que sean raíz (es decir, establecer el UID, el GID o ambos en 0). En tales casos, debe conceder el permiso de IAM `ClientRootAccess` al cliente NFS.
# Aplicación de un directorio raíz con un punto de acceso
Puede utilizar un punto de acceso para anular el directorio raíz de un sistema de archivos. Cuando se aplica un directorio raíz, el cliente NFS que utiliza el punto de acceso utiliza el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos.
Para habilitar esta entidad, defina el atributo `Path` del punto de acceso al crear un punto de acceso. El atributo `Path` es la ruta completa del directorio raíz del sistema de archivos para todas las solicitudes del sistema de archivos realizadas a través de este punto de acceso. La ruta de acceso completa no puede superar los 100 caracteres de longitud. Puede incluir hasta cuatro subdirectorios.
Cuando se especifica un directorio raíz en un punto de acceso, se convierte en el directorio raíz del sistema de archivos para el cliente NFS que monta el punto de acceso. Por ejemplo, supongamos que el directorio raíz de su punto de acceso sea `/data`. En este caso, el montaje `fs-12345678:/` utilizando el punto de acceso tiene el mismo efecto que el montaje `fs-12345678:/data` sin usar el punto de acceso.
Al especificar un directorio raíz en el punto de acceso, asegúrese de que los permisos de directorio estén configurados para permitir que el usuario del punto de acceso monte correctamente el sistema de archivos. Concretamente, asegúrese de que el bit de ejecución esté configurado para el grupo o usuario del punto de acceso, o para todos los usuarios. Por ejemplo, si permiso del directorio tiene el valor 755, el propietario del directorio puede enumerar, crear y montar archivos, y el resto de los usuarios pueden enumerar y montar archivos.
## Creación del directorio raíz para un punto de acceso
Si no existe una ruta al directorio raíz para un punto de acceso en el sistema de archivos, Amazon EFS crea automáticamente ese directorio raíz con la propiedad y los permisos especificados. Amazon EFS no creará el directorio raíz si no especifica la propiedad y los permisos del directorio en el momento de la creación. Este enfoque permite aprovisionar el acceso al sistema de archivos para un usuario o aplicación específicos sin montar el sistema de archivos desde un host Linux. Para crear un directorio raíz, puede configurar la propiedad y el permiso del directorio raíz utilizando los siguientes atributos al crear un punto de acceso:
+ `OwnerUid`: el ID de usuario POSIX numérico que se utilizará como propietario del directorio raíz.
+ `OwnerGiD`: el ID de grupo POSIX numérico que se utilizará como propietario del grupo del directorio raíz.
+ Permisos: el modo Unix del directorio. Una configuración común es 755. Asegúrese de que el bit de ejecución esté configurado para el usuario del punto de acceso para que pueda montar archivos. Esta configuración da al propietario del directorio permiso para introducir, enumerar y escribir nuevos archivos en el directorio. Da permiso a todos los demás usuarios para introducir y enumerar archivos. Para obtener más información sobre cómo trabajar con los modos de archivo y directorio Unix, consulte [Usuarios, grupos y permisos en el nivel de Network File System (NFS)](accessing-fs-nfs-permissions.md).
Amazon EFS crea un directorio raíz de puntos de acceso solo si se especifican el OwnUid OwnGID y los permisos para el directorio. Si no proporciona dicha información, Amazon EFS no creará el directorio raíz. Si el directorio raíz no existe, los intentos de montaje utilizando el punto de acceso fallarán.
Al montar un sistema de archivos con un punto de acceso, se crea el directorio raíz del punto de acceso si el directorio aún no existe, siempre que el directorio raíz OwnerUid y los permisos se hayan especificado al crear el punto de acceso. Si el directorio raíz del punto de acceso ya existe antes de la hora de montaje, el punto de acceso no sobrescribirá los permisos existentes. Si elimina el directorio raíz, EFS lo vuelve a crear la próxima vez que se monte el sistema de archivos utilizando el punto de acceso.
**nota**
Si no especifica la propiedad y los permisos de un directorio raíz de punto de acceso, Amazon EFS no creará el directorio raíz. Todos los intentos de montaje del punto de acceso fallarán.
## Modelo de seguridad para directorios raíz de punto de acceso
Cuando una anulación de directorio raíz está en vigor, Amazon EFS se comporta como un servidor Linux NFS con la opción `no_subtree_check` habilitada.
En el protocolo NFS, los servidores generan identificadores de archivo que los clientes utilizan como referencias únicas al acceder a los archivos. EFS genera de forma segura identificadores de archivos impredecibles y específicos de un sistema de archivos de EFS. Cuando se ha establecido una anulación de directorio raíz, EFS no revela los identificadores de archivo para los archivos fuera del directorio raíz especificado. Sin embargo, en algunos casos, un usuario puede obtener un identificador de archivo para un archivo situado fuera de su punto de acceso mediante un out-of-band mecanismo. Por ejemplo, podrían hacerlo si tienen acceso a un segundo punto de acceso. Si lo hacen, pueden llevar a cabo operaciones de lectura y escritura en el archivo.
Los permisos de acceso y propiedad de archivos siempre se aplican, para acceder a archivos dentro y fuera del directorio raíz del punto de acceso de un usuario.
# Uso de puntos de acceso en políticas de IAM
Puede utilizar una política de IAM para exigir que un cliente NFS específico, identificado por su rol de IAM, solo pueda acceder a un punto de acceso específico. Para ello, utilice la clave de condición de IAM `elasticfilesystem:AccessPointArn`. `AccessPointArn` es el nombre de recurso de Amazon (ARN) del punto de acceso con el que está montado el sistema de archivos.
A continuación se muestra un ejemplo de una política del sistema de archivos que permite que el rol de IAM `app1` tenga acceso al sistema de archivos mediante el punto de acceso `fsap-01234567`. La política también permite a `app2` utilizar el sistema de archivos utilizando el punto de acceso `fsap-89abcdef`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "MyFileSystemPolicy",
"Statement": [
{
"Sid": "App1Access",
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" },
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567"
}
}
},
{
"Sid": "App2Access",
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" },
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef"
}
}
}
]
}
```
------