Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Ejemplos de políticas basadas en recursos para Amazon EFS
<a name="security_iam_resource-based-policy-examples"></a>

En esta sección, puede encontrar políticas de sistema de archivos de ejemplo que conceden o deniegan permisos para varias acciones de Amazon EFS. Las políticas del sistema de archivos EFS tienen un límite de 20 000 caracteres. Para obtener información sobre los elementos de una política basada en recursos, consulte [Políticas basadas en recursos de Amazon EFS](security_iam_service-with-iam.md#security_iam_service-with-iam-resource-based-policies).

**importante**  
Si concede permiso a un usuario o rol de IAM individual en una política de sistema de archivos, no elimine ni vuelva a crear ese usuario o rol mientras la política siga vigente en el sistema de archivos. Si esto sucede, ese usuario o rol se bloquea efectivamente en el sistema de archivos y no podrá acceder a él. Para obtener más información, consulte [Especificación de una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) en la *Guía del usuario de IAM*. 

Para obtener información acerca de cómo crear una política de sistema de archivos, consulte [Creación de políticas de sistema de archivos](create-file-system-policy.md).

**Topics**
+ [Ejemplo: conceder acceso de lectura y escritura a un rol específico AWS](#file-sys-policy-readonly)
+ [Ejemplo: conceder acceso de solo lectura](#file-sys-policy-readonly)
+ [Ejemplo: Otorgar acceso a un punto de acceso de EFS](#file-sys-policy-accessprofile-efs)

## Ejemplo: conceder acceso de lectura y escritura a un rol específico AWS
<a name="file-sys-policy-readonly"></a>

En este ejemplo, la política de sistema de archivos de EFS tiene las características siguientes:
+ El efecto es `Allow`.
+ La entidad principal se establece en Testing\$1Role en la Cuenta de AWS.
+ La acción se establece en `ClientMount` (lectura) y `ClientWrite`.
+ La condición para conceder permisos se establece en `AccessedViaMountTarget`.

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/Testing_Role"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}
```

## Ejemplo: conceder acceso de solo lectura
<a name="file-sys-policy-readonly"></a>

La siguiente política del sistema de archivos solo concede permisos `ClientMount`, o de solo lectura, al rol de IAM `EfsReadOnly`.

```
{
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efs-statement-example02",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"            
        }
    ]
}
```

Para obtener información sobre cómo establecer políticas adicionales del sistema de archivos, incluida la denegación del acceso raíz a todas las entidades principales de IAM, excepto una estación de trabajo de administración específica, consulte [Habilitar la agrupación de nodo raíz mediante la autorización de IAM para clientes NFS](accessing-fs-nfs-permissions.md#enable-root-squashing).

## Ejemplo: Otorgar acceso a un punto de acceso de EFS
<a name="file-sys-policy-accessprofile-efs"></a>

Utilice una política de acceso de EFS para proporcionar a un cliente de NFS una vista específica de la aplicación en conjuntos de datos basados en archivos compartidos en un sistema de archivos de EFS. Conceder permisos de punto de acceso en el sistema de archivos mediante una política de sistema de archivos. 

En este ejemplo de política de archivos se utiliza un elemento de condición para conceder un punto de acceso específico que se identifica por el acceso completo de su ARN al sistema de archivos. 

Para obtener más información acerca de los puntos de acceso de EFS, consulte [Trabajo con puntos de acceso](efs-access-points.md).

```
{
    "Id": "access-point-example03",
    "Statement": [
        {
            "Sid": "access-point-statement-example03",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"},
            "Action": "elasticfilesystem:Client*",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678",
            "Condition": { 
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } 
            }            
        }
    ]
}
```