Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation des points d’accès
<a name="efs-access-points"></a>

Les *points d'accès* EFS sont des points d'entrée spécifiques à une application dans un système de fichiers EFS qui facilitent la gestion de l'accès des applications aux ensembles de données partagés. Les points d’accès peuvent appliquer de manière forcée une identité d’utilisateur, y compris les groupes POSIX de l’utilisateur, pour toutes les demandes de système de fichiers effectuées via le point d’accès. Les points d’accès peuvent également appliquer de manière forcée un répertoire racine différent pour le système de fichiers afin que les clients puissent uniquement accéder aux données stockées dans le répertoire spécifié ou dans les sous-répertoires.

Vous pouvez utiliser des politiques Gestion des identités et des accès AWS (IAM) pour garantir que des applications spécifiques utilisent un point d'accès spécifique. En combinant des politiques IAM avec des points d’accès, vous pouvez facilement fournir un accès sécurisé à des ensembles de données spécifiques pour vos applications. 

Vous pouvez créer des points d'accès pour un système de fichiers EFS existant à l'aide de AWS Management Console, the AWS Command Line Interface (AWS CLI) et de l'API Amazon EFS. Pour step-by-step les procédures de création d'un point d'accès, voir[Création de points d’accès](create-access-point.md).

## Les points d'accès fonctionnent avec des cibles de montage
<a name="accesspoints-and-mount-targets"></a>

Vous devez créer au moins une cible de montage dans votre VPC avant d'utiliser des points d'accès. Les cibles de montage fournissent la connectivité réseau à votre système de fichiers EFS, tandis que les points d'accès fournissent le contrôle d'accès et les points d'entrée spécifiques à l'application. 

Les points d'accès héritent de l'emplacement de la zone de disponibilité de la cible de montage.
+ Les groupes de sécurité sont appliqués au niveau de la cible de montage, et non au niveau du point d'accès.
+ Les points d'accès sont disponibles dans toutes les zones de disponibilité où vous avez des cibles de montage.
+ La clé de condition IAM `elasticfilesystem:AccessedViaMountTarget` garantit l'accès au système de fichiers uniquement via des cibles de montage, ce qui s'applique à la fois aux montages directs et aux montages par point d'accès.

Vous utilisez l’assistant de montage EFS lors du montage d’un système de fichiers à l’aide d’un point d’accès. Dans la commande mount, vous devez inclure l’ID du système de fichiers, l’ID du point d’accès et l’option mount `tls`, comme illustré dans l’exemple suivant.

```
$ mount -t efs -o tls,iam,accesspoint=fsap-abcdef0123456789a fs-abc0123def456789a: /localmountpoint
```

Pour plus d’informations sur le montage de systèmes de fichiers à l’aide d’un point d’accès, veuillez consulter [Montage avec points d’accès EFS](mounting-access-points.md).

**Topics**
+ [Les points d'accès fonctionnent avec des cibles de montage](#accesspoints-and-mount-targets)
+ [Application forcée d’une identité utilisateur à l’aide d’un point d’accès](enforce-identity-access-points.md)
+ [Application forcée d’un répertoire racine avec un point d’accès](enforce-root-directory-access-point.md)
+ [Utilisation des points d’accès dans les stratégies IAM](access-points-iam-policy.md)

# Application forcée d’une identité utilisateur à l’aide d’un point d’accès
<a name="enforce-identity-access-points"></a>

Vous pouvez utiliser un point d’accès pour appliquer de manière forcée les informations d’utilisateur et de groupe pour toutes les demandes de système de fichiers effectuées via le point d’accès. Pour activer cette fonction, vous devez spécifier l’identité du système d’exploitation à appliquer de manière forcée lors de la création du point d’accès.

Dans le cadre de ce document, vous fournissez ce qui suit :
+ ID utilisateur : ID d’utilisateur POSIX numérique de l’utilisateur.
+ ID de groupe : ID de groupe POSIX numérique de l’utilisateur.
+ Groupe secondaire IDs  : liste facultative de groupes secondaires IDs.

Lorsque le contrôle des utilisateurs est activé, Amazon EFS remplace l'utilisateur et le groupe du client NFS IDs par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers. L’application forcée par l’utilisateur a également l’impact suivant :
+ Le propriétaire et le groupe des nouveaux fichiers et répertoires sont définis sur l’ID utilisateur et l’ID de groupe du point d’accès.
+ L'EFS prend en compte l'ID utilisateur, l'ID de groupe et le groupe secondaire IDs du point d'accès lors de l'évaluation des autorisations du système de fichiers. EFS ignore ceux du client NFS. IDs

**Important**  
L’application forcée d’une identité d’utilisateur est soumise à l’autorisation IAM `ClientRootAccess`.   
Par exemple, dans certains cas, vous pouvez configurer l’ID utilisateur du point d’accès, l’ID du groupe ou les deux pour qu’ils soient à la racine (c’est-à-dire définir l’UID, le GID ou les deux sur 0). Dans ce cas, vous devez accorder l’autorisation IAM `ClientRootAccess` au client NFS.

# Application forcée d’un répertoire racine avec un point d’accès
<a name="enforce-root-directory-access-point"></a>

Vous pouvez utiliser un point d’accès pour remplacer le répertoire racine d’un système de fichiers. Lors de l’application forcée d’un répertoire racine, le client NFS lié au point d’accès utilise le répertoire racine configuré sur le point d’accès au lieu du répertoire racine du système de fichiers. 

Vous activez cette fonction en définissant l’attribut de point d’accès `Path` lors de la création d’un point d’accès. L’attribut `Path` est le chemin d’accès complet du répertoire racine du système de fichiers pour toutes les demandes de système de fichiers effectuées via ce point d’accès. Le chemin complet ne peut pas dépasser 100 caractères. Il peut inclure jusqu’à quatre sous-répertoires.

Lorsque vous spécifiez un répertoire racine sur un point d’accès, il devient le répertoire racine du système de fichiers pour le client NFS qui monte le point d’accès. Par exemple, supposons que le répertoire racine de votre point d’accès soit `/data`. Dans ce cas, le montage `fs-12345678:/` à l’aide du point d’accès a le même effet que le montage `fs-12345678:/data` sans l’utilisation du point d’accès. 

Lorsque vous spécifiez un répertoire racine dans votre point d’accès, assurez-vous que les autorisations d’annuaire sont configurées pour permettre à l’utilisateur du point d’accès de monter correctement le système de fichiers. Plus précisément, assurez-vous que le bit d’exécution est défini pour l’utilisateur ou le groupe du point d’accès, ou pour tout le monde. Par exemple, une valeur d’autorisation d’annuaire de 755 permet au propriétaire de l’utilisateur d’annuaire de répertorier des fichiers, de créer des fichiers et de monter, et à tous les autres utilisateurs de lister des fichiers et de les monter.

## Création du répertoire racine d’un point d’accès
<a name="create-root-directory-access-point"></a>

Si aucun chemin d’accès au répertoire racine n’existe pour un point d’accès sur le système de fichiers, Amazon EFS crée automatiquement ce répertoire racine avec la propriété et les autorisations configurables. Amazon EFS ne créera pas le répertoire racine si vous ne spécifiez pas la propriété et les autorisations du répertoire lors de sa création. Cette approche permet de provisionner l’accès au système de fichiers pour un utilisateur ou une application spécifique sans monter votre système de fichiers à partir d’un hôte Linux. Pour créer un répertoire racine, vous devez configurer la propriété et les autorisations du répertoire racine à l’aide des attributs suivants lors de la création d’un point d’accès :
+ `OwnerUid` : ID utilisateur POSIX numérique à utiliser en tant que propriétaire du répertoire racine.
+ `OwnerGiD` : ID de groupe POSIX numérique à utiliser en tant que groupe propriétaire du répertoire racine.
+ Autorisations : mode Unix du répertoire. Une configuration commune est 755. Assurez-vous que le bit d’exécution est défini pour l’utilisateur du point d’accès afin qu’il puisse être monté. Cette configuration donne au propriétaire du répertoire l’autorisation d’entrer, de répertorier et d’écrire de nouveaux fichiers dans le répertoire. Elle donne à tous les autres utilisateurs l’autorisation d’entrer et de répertorier des fichiers. Pour plus d’informations sur l’utilisation des modes de fichier et de répertoire Unix, veuillez consulter [Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS)](accessing-fs-nfs-permissions.md).

Amazon EFS crée un répertoire racine de point d'accès uniquement si le nom OwnUid, le OwnGid et les autorisations sont spécifiés pour le répertoire. Si vous ne fournissez pas ces informations, Amazon EFS ne crée pas le répertoire racine. Si le répertoire racine n’existe pas, les tentatives de montage au moyen du point d’accès échoueront.

Lorsque vous montez un système de fichiers avec un point d'accès, le répertoire racine du point d'accès est créé s'il n'existe pas déjà, à condition que le répertoire racine OwnerUid et les autorisations aient été spécifiés lors de la création du point d'accès. Si le répertoire racine du point d’accès existe déjà au moment du montage, les autorisations existantes ne seront pas écrasées par le point d’accès. Si vous supprimez le répertoire racine, EFS le recréera lorsque le système de fichiers sera monté de nouveau à l’aide du point d’accès.

**Note**  
Amazon EFS ne créera pas le répertoire racine si vous ne spécifiez pas la propriété et les autorisations du répertoire racine du point d’accès. Toutes les tentatives de montage du point d’accès échoueront.

## Modèle de sécurité pour les répertoires racine d’un point d’accès
<a name="root-directory-security-access-point"></a>

Lorsqu’un remplacement de répertoire racine est en vigueur, Amazon EFS se comporte comme un serveur NFS Linux avec l’option `no_subtree_check` activée. 

Dans le protocole NFS, les serveurs génèrent des descripteurs de fichier qui sont utilisés par les clients comme références uniques lors de l’accès aux fichiers. EFS génère en toute sécurité des descripteurs de fichier imprévisibles et spécifiques à un système de fichiers EFS. Lorsqu'un remplacement du répertoire racine est en place, Amazon EFS ne divulgue pas les descripteurs de fichiers situés en dehors du répertoire racine spécifié. Cependant, dans certains cas, un utilisateur peut obtenir un descripteur de fichier pour un fichier en dehors de son point d'accès en utilisant un out-of-band mécanisme. Par exemple, cela est envisageable s’ils ont accès à un deuxième point d’accès. Dans ce cas, ils peuvent effectuer des opérations de lecture et d’écriture sur le fichier. 

La propriété des fichiers et les autorisations d’accès sont toujours appliquées pour l’accès aux fichiers dans et hors du répertoire racine du point d’accès d’un utilisateur. 

# Utilisation des points d’accès dans les stratégies IAM
<a name="access-points-iam-policy"></a>

Vous pouvez utiliser une stratégie IAM pour appliquer de manière forcée l’accès d’un client NFS spécifique, identifié par son rôle IAM, à un point d’accès particulier. Pour ce faire, utilisez la clé de condition IAM `elasticfilesystem:AccessPointArn`. `AccessPointArn` est l’ARN (Amazon Resource Name) du point d’accès avec lequel le système de fichiers est monté.

Voici un exemple de stratégie de système de fichiers qui permet au rôle IAM `app1` d’accéder au système de fichiers à l’aide du point d’accès `fsap-01234567`. Cette stratégie permet également à `app2` d’utiliser le système de fichiers via le point d’accès `fsap-89abcdef`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "MyFileSystemPolicy",
    "Statement": [
        {
            "Sid": "App1Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567"
                }
            }
        },
        {
            "Sid": "App2Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef"
                }
            }
        }
    ]
}
```

------