Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurisation de vos données dans Amazon EFS
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon Elastic File System, consultez [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon EFS. Les rubriques suivantes expliquent comment configurer Amazon EFS pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources Amazon EFS.
**Topics**
+ [Protection des données dans Amazon EFS](data-protection.md)
+ [Gestion des identités et des accès pour Amazon EFS](security-iam.md)
+ [Utilisation de l'IAM pour contrôler l'accès aux systèmes de fichiers](iam-access-control-nfs-efs.md)
+ [Validation de conformité pour Amazon EFS](EFS-compliance.md)
+ [Résilience dans Amazon EFS](disaster-recovery-resiliency.md)
+ [Contrôle de l'accès réseau aux systèmes de fichiers EFS pour les clients NFS](NFS-access-control-efs.md)
+ [Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS)](accessing-fs-nfs-permissions.md)
+ [Utilisation des points d’accès](efs-access-points.md)
+ [Blocage de l'accès public aux systèmes de fichiers EFS](access-control-block-public-access.md)
+ [Isolation du réseau pour Amazon EFS](network-isolation.md)
# Protection des données dans Amazon EFS
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Amazon EFS. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon EFS ou autre Services AWS à l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
**Topics**
+ [Chiffrement des données dans Amazon EFS](encryption.md)
+ [Trafic inter-réseaux](internetwork-privacy.md)
# Chiffrement des données dans Amazon EFS
Amazon EFS fournit des fonctionnalités de chiffrement complètes pour protéger vos données au repos et en transit.
+ **Chiffrement au repos** : chiffre les données stockées sur votre système de fichiers.
+ **Chiffrement en transit** : chiffre les données lorsqu'elles circulent entre vos clients et le système de fichiers.
Si votre entreprise est soumise à des politiques d'entreprise ou réglementaires qui exigent le chiffrement des données et des métadonnées, nous vous recommandons de créer un système de fichiers chiffré au repos et de monter votre système de fichiers en cryptant les données en transit.
**Topics**
+ [Chiffrement de données au repos](encryption-at-rest.md)
+ [chiffrement des données en transit](encryption-in-transit.md)
+ [Utilisation de AWS KMS clés pour Amazon EFS](EFSKMS.md)
+ [Résolution des problèmes de chiffrement](troubleshooting-efs-encryption.md)
# Chiffrement de données au repos
Le chiffrement au repos chiffre les données stockées dans votre système de fichiers EFS. Cela vous permet de respecter les exigences de conformité et de protéger les données sensibles contre tout accès non autorisé. Votre organisation peut avoir besoin de chiffrer toutes les données répondant à une classification spécifique ou associées à une application, une charge de travail ou un environnement particulier.
**Note**
L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-3. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.
Lorsque vous créez un système de fichiers à l'aide de la console Amazon EFS, le chiffrement au repos est activé par défaut. Lorsque vous utilisez AWS CLI l'API ou SDKs que vous créez un système de fichiers, vous devez explicitement activer le chiffrement.
Une fois que vous avez créé un système de fichiers EFS, vous ne pouvez pas modifier ses paramètres de chiffrement. Cela signifie que vous ne pouvez pas modifier un système de fichiers non chiffré pour le chiffrer. [Répliquez plutôt le système de fichiers](efs-replication.md) pour copier les données du système de fichiers non chiffré vers un nouveau système de fichiers crypté. Pour plus d'informations, voir [Comment activer le chiffrement au repos pour un système de fichiers EFS existant ?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)
## Comment fonctionne le chiffrement au repos ?
Dans un système de fichiers chiffré, les données et les métadonnées sont chiffrées par défaut avant d'être enregistrées dans le stockage et sont automatiquement déchiffrées lors de leur lecture. Ces processus sont gérés de manière transparente par Amazon EFS, vous n'avez donc pas besoin de modifier vos applications.
Amazon EFS utilise AWS KMS les méthodes suivantes pour la gestion des clés :
+ **Chiffrement des données des fichiers** : le contenu de vos fichiers est chiffré à l'aide de la clé KMS que vous spécifiez. Cela peut être soit :
+ L'option Clé détenue par AWS for Amazon EFS (`aws/elasticfilesystem`) : option par défaut, sans frais supplémentaires.
+ Une clé gérée par le client que vous créez et gérez : fournit des fonctionnalités de contrôle et d'audit supplémentaires.
+ **Chiffrement des métadonnées** : les noms de fichiers, les noms de répertoires et le contenu des répertoires sont chiffrés à l'aide d'une clé gérée en interne par Amazon EFS.
### Processus de chiffrement
Lorsqu'un système de fichiers est créé ou répliqué sur un système de fichiers du même compte, Amazon EFS utilise une [session d'accès direct (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) pour effectuer des appels KMS à l'aide des informations d'identification de l'appelant. Dans CloudTrail les journaux, l'`kms:CreateGrant`appel semble avoir été effectué par le même utilisateur que celui qui a créé le système de fichiers ou la réplication. Vous pouvez identifier les appels de service Amazon EFS CloudTrail en recherchant le `invokedBy` champ contenant la valeur`elasticfilesystem.amazonaws.com`. La politique de ressources sur la clé KMS doit autoriser l'`CreateGrant`action permettant à FAS de passer l'appel.
**Important**
Vous gérez le contrôle de la subvention et pouvez la révoquer à tout moment. La révocation de l'autorisation empêche Amazon EFS d'accéder à la clé KMS pour de futures opérations. Pour plus d'informations, consultez la section [Retrait et révocation des subventions](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html) dans le Guide du *AWS Key Management Service développeur*. .
Lorsque vous utilisez des clés KMS gérées par le client, la politique de ressources doit également autoriser le principal du service Amazon EFS et inclure la `kms:ViaService` condition de restriction de l'accès au point de terminaison du service spécifique. Par exemple :
```
"kms:ViaService":
"elasticfilesystem.us-east-2.amazonaws.com"
```
Amazon EFS utilise l'algorithme de chiffrement AES-256 standard pour chiffrer les données et les métadonnées au repos.
Pour plus d'informations sur les politiques clés KMS pour Amazon EFS, consultez[Utilisation de AWS KMS clés pour Amazon EFS](EFSKMS.md).
## Application du chiffrement au repos pour les nouveaux systèmes de fichiers
Vous pouvez utiliser la clé de condition `elasticfilesystem:Encrypted` IAM dans les politiques basées sur l'identité Gestion des identités et des accès AWS (IAM) pour imposer la création au repos lorsque les utilisateurs créent des systèmes de fichiers EFS. Pour de plus amples informations sur l’utilisation de la clé de condition , veuillez consulter [Exemple : imposer la création de systèmes de fichiers chiffrés](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest).
Vous pouvez également définir des politiques de contrôle des services (SCPs) internes AWS Organizations afin d'appliquer le chiffrement Amazon EFS Comptes AWS à tous les membres de votre organisation. Pour plus d'informations sur les politiques de contrôle des services dans AWS Organizations, voir [Politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) dans le *Guide de AWS Organizations l'utilisateur*.
# chiffrement des données en transit
Amazon EFS prend en charge le chiffrement des données en transit grâce au protocole TLS (Transport Layer Security). Lorsque le chiffrement des données en transit est déclaré comme option de montage pour votre système de fichiers EFS, Amazon EFS établit une connexion TLS sécurisée avec votre système de fichiers EFS lors du montage de votre système de fichiers. Tout le trafic NFS est acheminé via cette connexion cryptée.
## Comment fonctionne le chiffrement des données en transit ?
Nous vous recommandons d’utiliser l’assistant de montage EFS pour monter votre système de fichiers, car il simplifie le processus de montage par rapport au montage avec le NFS `mount`. L'assistant de montage EFS gère le processus en utilisant efs-proxy (pour efs-utils version 2.0.0 et versions ultérieures) ou stunnel (pour les versions antérieures d'efs-utils) pour établir une connexion TLS sécurisée avec votre système de fichiers EFS.
Vous pouvez tout de même activer le chiffrement des données en transit sans utiliser l’assistant de montage. Voici les étapes à suivre pour ce faire.
**Pour activer le chiffrement des données en transit sans utiliser l'assistant de montage**
1. Téléchargez et installez `stunnel`, et notez le port sur lequel l’application est à l’écoute. Pour de plus amples informations, veuillez consulter [Mise à niveau d’`stunnel`](upgrading-stunnel.md).
1. Exécutez `stunnel` pour vous connecter à votre système de fichiers EFS sur le port 2049 à l'aide du protocole TLS.
1. En utilisant le client NFS, montez `localhost:port`, où `port` est le port que vous avez noté au cours de la première étape.
Étant donné que le chiffrement des données en transit est configuré en mode par connexion, chaque montage configuré possède un processus `stunnel` dédié s’exécutant sur l’instance. Par défaut, le processus Stunnel utilisé par l'assistant de montage écoute sur un port local entre 20049 et 20449, et il se connecte à Amazon EFS sur le port 2049.
**Note**
Par défaut, lorsque vous utilisez l'assistant de montage EFS avec TLS, il impose l'utilisation du protocole OCSP (Online Certificate Status Protocol) et de la vérification du nom d'hôte du certificat. L'assistant de montage EFS utilise le programme Stunnel pour ses fonctionnalités TLS. Certaines versions de Linux n’incluent pas une version de stunnel prenant en charge ces fonctionnalités TLS par défaut. Lorsque vous utilisez l'une de ces versions de Linux, le montage d'un système de fichiers EFS à l'aide du protocole TLS échoue.
Après avoir installé le amazon-efs-utils package, pour mettre à niveau la version de Stunnel de votre système, consultez[Mise à niveau d’`stunnel`](upgrading-stunnel.md).
Pour tout problème lié au chiffrement, consultez [Résolution des problèmes de chiffrement](troubleshooting-efs-encryption.md).
Lorsque vous utilisez le chiffrement des données en transit, la configuration du client NFS est modifiée. Lorsque vous examinez vos systèmes de fichiers montés, vous en voyez un monté sur 127.0.0.1, ou `localhost`, comme dans l’exemple suivant :
```
$ mount | column -t
127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
```
Lors du montage avec TLS et l'assistant de montage EFS, vous reconfigurez votre client NFS pour le monter sur un port local. L’assistant de montage démarre un processus client `stunnel` qui est à l’écoute de ce port local et `stunnel` ouvre une connexion chiffrée avec EFS à l’aide du protocole TLS. L’assistant de montage EFS est responsable de la configuration et de la gestion de cette connexion chiffrée et de la configuration associée.
Pour connaître l’ID du système de fichiers Amazon EFS correspondant au point de montage local, vous pouvez utiliser la commande suivante. N'oubliez pas de le *efs-mount-point* remplacer par le chemin local sur lequel vous avez monté votre système de fichiers.
```
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
```
Lorsque vous utilisez l'assistant de montage EFS pour le chiffrement des données en transit, il crée également un processus appelé`amazon-efs-mount-watchdog`. Ce processus garantit que le processus Stunnel de chaque montage est en cours d'exécution et arrête le Stunnel lorsque le système de fichiers EFS est démonté. Si, pour une raison quelconque, un processus stunnel est interrompu de manière inattendue, le processus de surveillance le redémarre.
# Utilisation de AWS KMS clés pour Amazon EFS
Amazon EFS s'intègre à AWS Key Management Service (AWS KMS) pour la gestion des clés. Amazon EFS utilise des clés principales client (clés CMK) pour chiffrer votre système de fichiers de la façon suivante :
+ **Chiffrement des métadonnées au repos** – Amazon EFS utilise Clé gérée par AWS pour Amazon EFS, `aws/elasticfilesystem`, pour chiffrer et déchiffrer les métadonnées du système de fichiers (c’est-à-dire les noms de fichiers, les noms de répertoires et le contenu des répertoires).
+ **Chiffrement de données au repos de fichier** – Vous choisissez la clé gérée par le client utilisée pour chiffrer et déchiffrer les données des fichiers (c’est-à-dire le contenu de vos fichiers). Vous pouvez activer, désactiver ou révoquer les subventions sur cette clé gérée par le client. Cette clé gérée côté client peut être l’un des deux types suivants :
+ **Clé gérée par AWS pour Amazon EFS** — Il s'agit de la clé gérée par le client par défaut,`aws/elasticfilesystem`. La création et le stockage d’une clé gérée par le client ne sont pas facturés, mais il y a des frais d’utilisation. Pour en savoir plus, consultez la page [Tarification AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ **Clé gérée par le client** – Il s’agit de la clé KMS la plus souple à utiliser, car vous pouvez configurer ses stratégies de clé et ses octrois pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés gérées par le client, consultez la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *guide du AWS Key Management Service développeur.*
Vous pouvez activer la rotation des clés si vous utilisez une clé gérée par le client pour le chiffrement des données et le déchiffrement des données des fichiers. Lorsque vous activez la rotation des clés, elle fait AWS KMS automatiquement pivoter votre clé une fois par an. De plus, avec une clé gérée par le client, vous pouvez choisir à tout moment de désactiver, réactiver, supprimer ou révoquer l’accès à votre clé gérée par le client. Pour de plus amples informations, veuillez consulter [Utilisation de AWS KMS clés pour Amazon EFS](#EFSKMS).
**Important**
Amazon EFS accepte uniquement les clés symétriques gérées côté client. Vous ne pouvez pas utiliser de clés asymétriques gérées par le client avec Amazon EFS.
Le chiffrement et le déchiffrement des données au repos sont gérés de façon transparente. Cependant, les AWS comptes IDs spécifiques à Amazon EFS apparaissent dans vos AWS CloudTrail journaux relatifs aux AWS KMS actions. Pour de plus amples informations, veuillez consulter [Entrées du fichier journal Amazon EFS pour les systèmes de encrypted-at-rest fichiers](logging-using-cloudtrail.md#efs-encryption-cloudtrail).
## Politiques clés d'Amazon EFS pour AWS KMS
Les stratégies de clé constituent le principal moyen de contrôler l’accès aux clés gérées par le client. Pour plus d’informations sur les stratégie de clé, consultez [Stratégie de clé AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)dans le *AWS Key Management Service Guide du développeur. *La liste suivante décrit toutes les autorisations liées au AWS KMS qui sont requises ou prises en charge par Amazon EFS pour les systèmes de fichiers chiffrés au repos :
+ **kms:Encrypt** - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms:Decrypt** - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : ReEncrypt** — (Facultatif) Chiffre les données côté serveur avec une nouvelle clé gérée par le client, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : GenerateDataKeyWithoutPlaintext** — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé gérée par le client. Cette autorisation est incluse dans la politique clé par défaut sous **kms : GenerateDataKey \$1**.
+ **kms : CreateGrant** — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d'informations sur les subventions, consultez la section [Subventions AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) le *guide du AWS Key Management Service développeur.* Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : DescribeKey** — (Obligatoire) Fournit des informations détaillées sur la clé gérée par le client spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : ListAliases** — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation renseigne la liste **Sélectionner une clé principale KMS**. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.
### Clé gérée par AWS pour la politique KMS d'Amazon EFS
La politique JSON de politique KMS Clé gérée par AWS pour Amazon EFS `aws/elasticfilesystem` est la suivante :
```
{
"Version": "2012-10-17",
"Id": "auto-elasticfilesystem-1",
"Statement": [
{
"Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
"kms:CallerAccount": "111122223333"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
## Les états clés et leurs effets
L'état de votre clé KMS affecte directement l'accès à votre système de fichiers chiffré :
Activé
Fonctionnement normal : accès complet en lecture et en écriture au système de fichiers
Désactivé
Le système de fichiers devient inaccessible après une courte période. Peut être réactivé.
Suppression en attente
Le système de fichiers devient inaccessible. La suppression peut être annulée pendant la période d'attente.
Supprimé
Le système de fichiers est définitivement inaccessible. Cette action ne peut pas être annulée.
**Avertissement**
Si vous désactivez ou supprimez la clé KMS utilisée pour votre système de fichiers, ou si vous révoquez l'accès d'Amazon EFS à la clé, votre système de fichiers deviendra inaccessible. Cela peut entraîner une perte de données si vous ne disposez pas de sauvegardes. Assurez-vous toujours d'avoir mis en place des procédures de sauvegarde appropriées avant de modifier les clés de chiffrement.
# Résolution des problèmes de chiffrement
**Topics**
+ [Le montage avec chiffrement des données en transit échoue](#mounting-tls-fails)
+ [Le montage avec chiffrement des données en transit est interrompu](#mounting-tls-interrupt)
+ [Encrypted-at-rest le système de fichiers ne peut pas être créé](#unable-to-encrypt)
+ [Système de fichiers chiffré inutilisable](#unusable-encrypt)
## Le montage avec chiffrement des données en transit échoue
Par défaut, lorsque vous utilisez l’assistant de montage Amazon EFS avec le protocole TLS (Transport Layer Security), celui-ci procède à la vérification du nom d’hôte. Certains systèmes ne prennent pas en charge cette fonction, par exemple lorsque vous utilisez Red Hat Enterprise Linux ou CentOS. Dans ce cas, le montage d’un système de fichiers EFS à l’aide de TLS échoue.
**Action à exécuter**
Nous vous recommandons de mettre à niveau la version de stunnel sur votre client pour la prise en charge de la vérification du nom d’hôte. Pour de plus amples informations, veuillez consulter [Mise à niveau d’`stunnel`](upgrading-stunnel.md).
## Le montage avec chiffrement des données en transit est interrompu
Il est possible, bien que peu probable, que la connexion chiffrée vers votre système de fichiers Amazon EFS soit suspendue ou interrompue par des événements côté client.
**Action à exécuter**
Si la connexion à votre système de fichiers Amazon EFS avec chiffrement des données en transit est interrompue, procédez comme suit :
1. Assurez-vous que le service stunnel est en cours d’exécution sur le client.
1. Vérifiez que l’application de surveillance `amazon-efs-mount-watchdog` est en cours d’exécution sur le client. Vous pouvez déterminer si cette application est en cours d’exécution à l’aide de la commande suivante :
```
ps aux | grep [a]mazon-efs-mount-watchdog
```
1. Consultez vos journaux de support. Pour de plus amples informations, veuillez consulter [Obtention de journaux de support](mount-helper-logs.md).
1. Le cas échéant, vous pouvez activer vos journaux stunnel et consulter les informations qu’ils contiennent. Vous pouvez modifier la configuration de vos journaux dans `/etc/amazon/efs/efs-utils.conf` afin d’activer les journaux stunnel. Toutefois, cette opération nécessite le démontage, puis le remontage du système de fichiers à l’aide de l’assistant de montage pour que les modifications prennent effet.
**Important**
Sachez que l’activation des journaux stunnel risque d’utiliser une quantité d’espace non négligeable sur votre système de fichiers.
Si les interruptions persistent, contactez le AWS Support.
## Encrypted-at-rest le système de fichiers ne peut pas être créé
Vous avez essayé de créer un nouveau système de encrypted-at-rest fichiers. Cependant, un message d'erreur s'affiche indiquant que cette option AWS KMS n'est pas disponible.
**Action à exécuter**
Cette erreur peut se produire dans les rares cas d' AWS KMS indisponibilité temporaire dans votre Région AWS. Dans ce cas, attendez que AWS KMS la disponibilité totale soit rétablie, puis réessayez de créer le système de fichiers.
## Système de fichiers chiffré inutilisable
Un système de fichiers chiffré renvoie systématiquement des erreurs de serveur NFS. Ces erreurs peuvent se produire lorsque EFS ne parvient pas à récupérer votre clé principale AWS KMS pour l'une des raisons suivantes :
+ La clé a été désactivée.
+ La clé a été supprimée.
+ L’autorisation d’Amazon EFS d’utiliser la clé a été révoquée.
+ AWS KMS est temporairement indisponible.
**Action à exécuter**
Vérifiez d'abord que la AWS KMS clé est activée. Vous pouvez le faire en affichant les clés dans la console. Pour plus d’informations, consultez [Affichage des clés](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html) dans le *AWS Key Management Service Guide du développeur*.
Si la clé n’est pas activée, activez-la. Pour de plus amples informations, veuillez consulter [Activation et désactivation des clés](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) du *AWS Key Management Service Guide du développeur*.
Si la clé est en attente de suppression, ce statut désactive la clé. Vous pouvez annuler la suppression, puis réactiver la clé. Pour de plus amples informations, consultez [Planification et annulation d’une suppression de clé](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion) dans le *AWS Key Management Service Guide du développeur*.
Si la clé est activée et que le problème persiste, ou si vous rencontrez un problème pour la réactiver, contactez le AWS Support.
# Trafic inter-réseaux
Cette rubrique décrit comment Amazon EFS sécurise les connexions entre le service et d'autres sites.
## Trafic entre les clients de service et sur site et les applications
Vous disposez de deux options de connectivité entre votre réseau privé et AWS :
+ Une AWS Site-to-Site VPN connexion. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Site-to-Site VPN ?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Une Direct Connect connexion. Pour plus d'informations, voir [Qu'est-ce que c'est Direct Connect ?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
L'accès à Amazon EFS via le réseau se fait par AWS publication APIs. Les clients doivent prendre en charge la couche de transport 1.2 ou supérieure. Nous recommandons le protocole TLS 1.3 ou supérieur. Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes. De plus, vous devez signer les demandes à l'aide d'un ID de clé d'accès et d'une clé d'accès secrète, toutes deux associées à un principal IAM. Vous pouvez également utiliser le [AWS Security Token Service (AWS STS)](https://docs.aws.amazon.com/STS/latest/APIReference/) pour générer des informations d'identification de sécurité temporaires qui serviront à signer les demandes.
## Trafic entre le VPC et l'API Amazon EFS
Pour établir une connexion privée entre votre cloud privé virtuel (VPC) et l’API Amazon EFS, vous pouvez créer un point de terminaison d’un VPC d’interface. Vous pouvez utiliser cette connexion pour appeler l'API Amazon EFS depuis votre VPC sans envoyer de trafic sur Internet. Le point de terminaison fournit une connectivité sécurisée à l’API Amazon EFS sans nécessiter une passerelle Internet, une instance NAT ou un réseau privé virtuel (VPN). Pour de plus amples informations, veuillez consulter [Utilisation des points de terminaison VPC d'interface dans Amazon EFS](efs-vpc-endpoints.md).
## Trafic entre les AWS ressources d'une même région
Un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) pour Amazon EFS est une entité logique au sein d'un VPC qui permet la connectivité uniquement à Amazon EFS. L'Amazon VPC achemine les demandes vers Amazon EFS et renvoie les réponses au VPC. Pour plus d’informations, consultez [Points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) dans le *Guide de l’utilisateur Amazon VPC*.
# Gestion des identités et des accès pour Amazon EFS
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Des administrateurs IAM contrôlent les personnes qui peuvent être *authentifiées* (connectées) et *autorisées* (disposant d’autorisations) à utiliser des ressources Amazon EFS. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Amazon Elastic File System fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de stratégies basées sur l’identité pour Amazon Elastic File System](security_iam_id-based-policy-examples.md)
+ [Exemples de politiques basées sur les ressources pour Amazon EFS](security_iam_resource-based-policy-examples.md)
+ [AWS politiques gérées pour Amazon EFS](security-iam-awsmanpol.md)
+ [Utilisation des balises avec Amazon EFS](using-tags-efs.md)
+ [Utilisation des rôles liés à un service pour Amazon EFS](using-service-linked-roles.md)
+ [Résolution de problèmes pour l’identité et l’accès Amazon Elastic File System](security_iam_troubleshoot.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution de problèmes pour l’identité et l’accès Amazon Elastic File System](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon Elastic File System fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de stratégies basées sur l’identité pour Amazon Elastic File System](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de votre annuaire d'entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Amazon Elastic File System fonctionne avec IAM
Avant d’utiliser IAM pour gérer l’accès à Amazon EFS, découvrez les fonctionnalités IAM qui peuvent être utilisées avec Amazon EFS.
**Fonctions IAM que vous pouvez utiliser avec Amazon Elastic File System**
| Fonctionnalité IAM | Support Amazon EFS |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Oui |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique (spécifiques au service)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (identifications dans les politiques)](#security_iam_service-with-iam-tags) | Partielle |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Autorisations de principal](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles de service](#security_iam_service-with-iam-roles-service) | Oui |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont Amazon EFS et les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez les [AWS services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur *IAM*.
## Politiques basées sur l’identité pour Amazon EFS
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur une identité pour Amazon EFS
Pour voir des exemples de politiques Amazon EFS basées sur l’identité, consultez [Exemples de stratégies basées sur l’identité pour Amazon Elastic File System](security_iam_id-based-policy-examples.md).
## Politiques basées sur les ressources au sein d’Amazon EFS
**Prend en charge les politiques basées sur les ressources** : oui
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
Pour en savoir plus sur l’utilisation d’une politique de ressources pour contrôler l’accès aux données du système de fichiers, consultez [Utilisation de l'IAM pour contrôler l'accès aux systèmes de fichiers](iam-access-control-nfs-efs.md). Pour savoir comment attacher une stratégie basée sur les ressources à un système de fichiers, consultez [Création de politiques de système de fichiers](create-file-system-policy.md).
### Exemples de politiques basées sur les ressources au sein d’Amazon EFS
Pour consulter des exemples de politiques basées sur les ressources Amazon EFS, consultez [Exemples de politiques basées sur les ressources pour Amazon EFS](security_iam_resource-based-policy-examples.md).
## Actions de politique pour Amazon EFS
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour afficher la liste des actions Amazon EFS, consultez [Actions définies par Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html#amazonelasticfilesystem-actions-as-permissions) dans *Référence de l’autorisation de service*.
Les actions de politique dans Amazon EFS utilisent le préfixe suivant avant l’action :
```
elasticfilesystem
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"elasticfilesystem:action1",
"elasticfilesystem:action2"
]
```
Pour voir des exemples de politiques Amazon EFS basées sur l’identité, consultez [Exemples de stratégies basées sur l’identité pour Amazon Elastic File System](security_iam_id-based-policy-examples.md).
## Ressources de politique pour Amazon EFS
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de ressources Amazon EFS et leurs caractéristiques ARNs, consultez la section [Ressources définies par Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html#amazonelasticfilesystem-resources-for-iam-policies) dans le *Service Authorization Reference*. Pour connaître les actions avec lesquelles vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html#amazonelasticfilesystem-actions-as-permissions).
Pour voir des exemples de politiques Amazon EFS basées sur l’identité, consultez [Exemples de stratégies basées sur l’identité pour Amazon Elastic File System](security_iam_id-based-policy-examples.md).
## Clés de condition de politique pour Amazon EFS
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour afficher la liste des clés de condition Amazon EFS, consultez [Clés de condition pour Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html#amazonelasticfilesystem-policy-keys) dans *Référence de l’autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html#amazonelasticfilesystem-actions-as-permissions).
Pour voir des exemples de politiques Amazon EFS basées sur l’identité, consultez [Exemples de stratégies basées sur l’identité pour Amazon Elastic File System](security_iam_id-based-policy-examples.md).
## ACLs dans Amazon EFS
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
## ABAC avec Amazon EFS
**Prend en charge ABAC (identifications dans les politiques) :** partiellement
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs nommés balise. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation d’informations d’identification temporaires avec Amazon EFS
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Autorisations de principal entre services pour Amazon EFS
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur les politiques relatives à l’envoi de demandes FAS, consultez [Transférer les sessions d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Fonctions du service pour Amazon EFS
**Prend en charge les rôles de service :** oui
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations d’une fonction du service peut altérer la fonctionnalité d’Amazon EFS. Ne modifiez des rôles de service que quand Amazon EFS vous le conseille.
## Rôles liés à un service pour Amazon EFS
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus d’informations sur la création ou la gestion des rôles liés à un service Amazon EFS service, veuillez consulter [Utilisation des rôles liés à un service pour Amazon EFS](using-service-linked-roles.md).
# Exemples de stratégies basées sur l’identité pour Amazon Elastic File System
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier des ressources Amazon EFS. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour en savoir plus sur les actions et les types de ressources définis par Amazon EFS, y compris le ARNs format de chaque type de ressource, consultez la section [Actions, ressources et clés de condition pour Amazon Elastic File System](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticfilesystem.html) dans le *Service Authorization Reference*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console Amazon EFS](#security_iam_id-based-policy-examples-console)
+ [Exemple : Autoriser les utilisateurs à afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemple : imposer la création de systèmes de fichiers chiffrés](#using-iam-to-enforce-encryption-at-rest)
+ [Exemple : imposer la création de systèmes de fichiers déchiffrés](#using-iam-to-enforce-unencrypted-file-systems)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l’identité déterminent si une personne peut créer, consulter ou supprimer des ressources Amazon EFS dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console Amazon EFS
Pour accéder à la console Amazon Elastic File System, vous devez disposer d’un jeu minimum d’autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les informations relatives aux ressources Amazon EFS de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la console Amazon EFS, associez également la politique `AmazonElasticFileSystemReadOnlyAccess` AWS gérée Amazon EFS aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Vous pouvez consulter `AmazonElasticFileSystemReadOnlyAccess` et les autres politiques relatives aux services gérés Amazon EFS dans [AWS politiques gérées pour Amazon EFS](security-iam-awsmanpol.md).
## Exemple : Autoriser les utilisateurs à afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Exemple : imposer la création de systèmes de fichiers chiffrés
L’exemple suivant illustre une stratégie basée sur l’identité qui autorise les principaux à créer des systèmes de fichiers chiffrés uniquement.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Condition": {
"Bool": {
"elasticfilesystem:Encrypted": "true"
}
},
"Resource": "*"
}
]
}
```
Si cette politique est attribuée à un utilisateur qui tente de créer un système de fichiers non chiffré, la demande échoue. L'utilisateur voit un message similaire au suivant, qu'il utilise le AWS Management Console AWS CLI, l' AWS API ou le SDK :
```
User: arn:aws:iam::111122223333:user/username is not authorized to
perform: elasticfilesystem:CreateFileSystem on the specified resource.
```
## Exemple : imposer la création de systèmes de fichiers déchiffrés
L’exemple suivant illustre une stratégie basée sur l’identité qui autorise les principaux à créer des systèmes de fichiers non déchiffrés uniquement.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Condition": {
"Bool": {
"elasticfilesystem:Encrypted": "false"
}
},
"Resource": "*"
}
]
}
```
Si cette politique est attribuée à un utilisateur qui tente de créer un système de fichiers non déchiffré, la demande échoue. L'utilisateur voit un message similaire au suivant, qu'il utilise le AWS Management Console AWS CLI, l' AWS API ou le SDK :
```
User: arn:aws:iam::111122223333:user/username is not authorized to
perform: elasticfilesystem:CreateFileSystem on the specified resource.
```
Vous pouvez également imposer la création de systèmes de fichiers EFS chiffrés ou non chiffrés en créant une politique de contrôle des AWS Organizations services (SCP). Pour plus d'informations sur les politiques de contrôle des services dans AWS Organizations, voir [Politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) dans le *Guide de AWS Organizations l'utilisateur*.
# Exemples de politiques basées sur les ressources pour Amazon EFS
Dans cette section, vous trouverez des exemples de stratégie de système de fichiers qui accordent ou refusent des autorisations pour diverses actions Amazon EFS. Les politiques du système de fichiers EFS sont limitées à 20 000 caractères. Pour plus d’informations sur les éléments d’une stratégie basée sur les ressources, veuillez consulter [Politiques basées sur les ressources au sein d’Amazon EFS](security_iam_service-with-iam.md#security_iam_service-with-iam-resource-based-policies).
**Important**
Si vous accordez l’autorisation à un utilisateur IAM individuel ou à un rôle IAM dans une stratégie de système de fichiers, ne supprimez pas ou ne recréez pas cet utilisateur ou ce rôle tant que la stratégie est en vigueur sur le système de fichiers. Dans ce cas, l’utilisateur ou le rôle ne pourrait plus accéder au système de fichiers. Pour de plus amples informations, veuillez consulter [Spécification d’un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur la création d’une stratégie de système de fichiers, consultez [Création de politiques de système de fichiers](create-file-system-policy.md).
**Topics**
+ [Exemple : accorder un accès en lecture et en écriture à un AWS rôle spécifique](#file-sys-policy-readonly)
+ [Exemple : Accorder l’accès en lecture seule](#file-sys-policy-readonly)
+ [Exemple : accorder l'accès à un point d'accès EFS](#file-sys-policy-accessprofile-efs)
## Exemple : accorder un accès en lecture et en écriture à un AWS rôle spécifique
Cet exemple de stratégie de système de fichiers EFS présente les caractéristiques suivantes :
+ L’effet est `Allow`.
+ Le principal est défini sur le Testing\$1Role dans le Compte AWS.
+ L’action est définie sur `ClientMount` (lecture) et `ClientWrite`.
+ La condition d’octroi des autorisations est définie sur `AccessedViaMountTarget`.
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/Testing_Role"
},
"Action": [
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientMount"
],
"Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
"Condition": {
"Bool": {
"elasticfilesystem:AccessedViaMountTarget": "true"
}
}
}
]
}
```
## Exemple : Accorder l’accès en lecture seule
La politique de système de fichiers suivante accorde uniquement des autorisations`ClientMount`, ou des autorisations en lecture seule, au rôle `EfsReadOnly` IAM.
```
{
"Id": "read-only-example-policy02",
"Statement": [
{
"Sid": "efs-statement-example02",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
},
"Action": [
"elasticfilesystem:ClientMount"
],
"Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"
}
]
}
```
Pour apprendre à définir des stratégies de système de fichiers supplémentaires, notamment en refusant l’accès racine à tous les principaux IAM à l’exception d’une station de travail de gestion spécifique, veuillez consulter [Activer l'écrasement des racines à l'aide de l'autorisation IAM pour les clients NFS](accessing-fs-nfs-permissions.md#enable-root-squashing).
## Exemple : accorder l'accès à un point d'accès EFS
Une stratégie d’accès EFS permet de fournir à un client NFS une vue spécifique à une application des ensembles de données basés sur des fichiers partagés sur un système de fichiers EFS. Vous accordez les autorisations de point d’accès sur le système de fichiers à l’aide d’une stratégie de système de fichiers.
Cet exemple de stratégie de fichier utilise un élément de condition pour accorder à un point d’accès spécifique identifié par son ARN l’accès complet au système de fichiers.
Pour plus d’informations sur l’utilisation des points d’accès EFS, consultez [Utilisation des points d’accès](efs-access-points.md).
```
{
"Id": "access-point-example03",
"Statement": [
{
"Sid": "access-point-statement-example03",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"},
"Action": "elasticfilesystem:Client*",
"Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678",
"Condition": {
"StringEquals": {
"elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" }
}
}
]
}
```
# AWS politiques gérées pour Amazon EFS
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSService RoleForAmazonElasticFileSystem
Amazon EFS utilise le rôle lié au service nommé `AWSServiceRoleForAmazonElasticFileSystem` pour permettre à Amazon EFS de gérer les AWS ressources en votre nom. Ce rôle fait confiance au `elasticfilesystem.amazonaws.com` service pour assumer le rôle. Pour de plus amples informations, veuillez consulter [Utilisation des rôles liés à un service pour Amazon EFS](using-service-linked-roles.md).
## AWS politique gérée : AmazonElasticFileSystemFullAccess
Vous pouvez associer la politique `AmazonElasticFileSystemFullAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent un accès complet à Amazon EFS et l'accès aux AWS services associés via le AWS Management Console.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `elasticfilesystem` – Permet aux principaux d’effectuer toutes les actions dans la console Amazon EFS. Il permet également aux principaux de créer (`elasticfilesystem:Backup`) et de restaurer (`elasticfilesystem:Restore`) des sauvegardes à l'aide AWS Backup de.
+ `cloudwatch`— Permet aux principaux de décrire les métriques CloudWatch du système de fichiers Amazon et les alarmes associées à une métrique dans la console Amazon EFS.
+ `ec2`— Permet aux principaux de créer, de supprimer et de décrire des interfaces réseau, de décrire et de modifier les attributs des interfaces réseau, de décrire les zones de disponibilité, les groupes de sécurité, les sous-réseaux, les clouds privés virtuels (VPCs) et les attributs VPC associés à un système de fichiers EFS dans la console Amazon EFS.
+ `kms`— Permet aux principaux de répertorier les alias des clés AWS Key Management Service (AWS KMS) et de décrire les clés KMS dans la console Amazon EFS.
+ `iam`— Accorde l'autorisation de créer un rôle lié à un service qui permet à Amazon EFS de gérer les AWS ressources pour le compte de l'utilisateur.
+ `iam:PassRole`— Accorde l'autorisation de transmettre un rôle IAM à Amazon EFS.
Pour consulter les autorisations associées à cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemFullAccess.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AmazonElasticFileSystemReadOnlyAccess
Vous pouvez associer la politique `AmazonElasticFileSystemReadOnlyAccess` à vos identités IAM.
Cette politique accorde un accès en lecture seule à Amazon EFS via le AWS Management Console.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `elasticfilesystem` – Permet aux responsables de décrire les attributs des systèmes de fichiers Amazon EFS, notamment les préférences de compte, les politiques de sauvegarde et de système de fichiers, la configuration du cycle de vie, les cibles de montage et leurs groupes de sécurité, les balises et les points d’accès dans la console Amazon EFS.
+ `cloudwatch`— Permet aux principaux de récupérer les CloudWatch métriques et de décrire les alarmes relatives aux métriques dans la console Amazon EFS.
+ `ec2`— Permet aux principaux d'afficher les zones de disponibilité, les interfaces réseau et leurs attributs, les groupes de sécurité, les sous-réseaux VPCs et leurs attributs dans la console Amazon EFS.
+ `kms`— Permet aux principaux de répertorier les alias des AWS KMS clés dans la console Amazon EFS.
Pour consulter les autorisations associées à cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemReadOnlyAccess.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AmazonElasticFileSystemClientFullAccess
Vous pouvez attacher la politique `AmazonElasticFileSystemClientFullAccess` à une entité IAM.
Cette politique accorde aux clients l'accès en lecture et en écriture aux systèmes de fichiers EFS. Cette politique permet aux clients NFS de monter, de lire et d'écrire sur les systèmes de fichiers EFS.
Pour consulter les autorisations associées à cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemClientFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemClientFullAccess.html)le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AmazonElasticFileSystemClientReadWriteAccess
Vous pouvez attacher la politique `AmazonElasticFileSystemClientReadWriteAccess` à une entité IAM.
Cette politique accorde aux clients l'accès en lecture et en écriture aux systèmes de fichiers EFS. Cette politique permet aux clients NFS de monter, de lire et d'écrire sur les systèmes de fichiers EFS.
Pour consulter les autorisations associées à cette politique, consultez [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemClientReadWriteAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemClientReadWriteAccess.html)le *Guide de référence des politiques AWS gérées*.
## Amazon EFS met à jour les politiques AWS gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon EFS depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page [Historique du document](document-history.md) Amazon EFS.
| Modifier | Description | Date |
| --- | --- | --- |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemFullAccess](#security-iam-awsmanpol-AmazonElasticFileSystemFullAccess) Amazon EFS a ajouté ce qui suit : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/efs/latest/ug/security-iam-awsmanpol.html) | 7 novembre 2024 |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemServiceRolePolicy](using-service-linked-roles.md#slr-permissions) Amazon EFS a ajouté `ReplicationRead` et `ReplicationWrite` pour autoriser la lecture et l'écriture des données du système de fichiers à des fins de réplication. | 7 novembre 2024 |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemReadOnlyAccess](#security-iam-awsmanpol-AmazonElasticFileSystemReadOnlyAccess) Amazon EFS a ajouté l'`ReplicationRead`action permettant de lire les données du système de fichiers à des fins de réplication. | 7 novembre 2024 |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemReadOnlyAccess](#security-iam-awsmanpol-AmazonElasticFileSystemReadOnlyAccess) Amazon EFS a ajouté de nouvelles autorisations qui permettent aux comptes source et de destination d'accéder aux systèmes de fichiers pour les réplications entre comptes. | 7 août 2024 |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemFullAccess](#security-iam-awsmanpol-AmazonElasticFileSystemFullAccess)Amazon EFS a ajouté une nouvelle autorisation permettant aux principaux de désactiver et d’activer la protection sur un système de fichiers. Les autorisations sont requises pour permettre à Amazon EFS de se répliquer sur un système de fichiers existant. | 27 novembre 2023 |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemServiceRolePolicy](using-service-linked-roles.md#slr-permissions) Amazon EFS a ajouté de nouvelles autorisations pour permettre aux principaux de créer, de décrire et de supprimer des réplications Amazon EFS, ainsi que de créer des systèmes de fichiers Amazon EFS. Les autorisations sont requises pour permettre à Amazon EFS de gérer les configurations de réplication des systèmes de fichiers au nom de l’utilisateur. | 25 janvier 2022 |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemReadOnlyAccess](#security-iam-awsmanpol-AmazonElasticFileSystemReadOnlyAccess) Amazon EFS a ajouté une nouvelle autorisation permettant aux principaux de décrire les réplications Amazon EFS. Les autorisations sont requises pour permettre aux utilisateurs de visualiser les configurations de réplication des systèmes de fichiers. | 25 janvier 2022 |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemFullAccess](#security-iam-awsmanpol-AmazonElasticFileSystemFullAccess) Amazon EFS a ajouté de nouvelles autorisations pour permettre aux principaux de créer, de décrire et de supprimer des réplications Amazon EFS. Les autorisations sont requises pour permettre aux utilisateurs de gérer les configurations de réplication des systèmes de fichiers. | 25 janvier 2022 |
| Démarrage de la politique de suivi | Stratégie : [AmazonElasticFileSystemClientReadWriteAccess](#security-iam-awsmanpol-AmazonElasticFileSystemClientReadWriteAccess) Accorde des privilèges de lecture et d’écriture sur les systèmes de fichiers Amazon EFS aux clients NFS. | 3 janvier 2022 |
| Démarrage de la politique de suivi | Stratégie : [AmazonElasticFileSystemServiceRolePolicy](using-service-linked-roles.md#slr-permissions)Autorisations du rôle lié à un service pour Amazon EFS. | 8 octobre 2021 |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemFullAccess](#security-iam-awsmanpol-AmazonElasticFileSystemFullAccess) Amazon EFS a ajouté de nouvelles autorisations pour permettre aux principaux de modifier et de décrire les préférences des comptes Amazon EFS. Les autorisations sont requises pour permettre aux utilisateurs de consulter et de définir les paramètres des préférences du compte dans la console Amazon EFS. | 7 mai 2021 |
| Mise à jour d’une stratégie existante | Stratégie : [AmazonElasticFileSystemReadOnlyAccess](#security-iam-awsmanpol-AmazonElasticFileSystemReadOnlyAccess) Amazon EFS a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les préférences des comptes Amazon EFS. Les autorisations sont requises pour permettre aux utilisateurs de consulter les paramètres des préférences du compte dans la console Amazon EFS. | 7 mai 2021 |
| Amazon EFS a commencé à assurer le suivi des modifications | Amazon EFS a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 7 mai 2021 |
# Utilisation des balises avec Amazon EFS
Vous pouvez utiliser des balises pour contrôler l’accès aux ressources Amazon EFS et pour implémenter le contrôle d’accès basé sur les attributs (ABAC). Pour en savoir plus, consultez :
+ [Marquage des ressources EFS](manage-fs-tags.md)
+ [Contrôle de l’accès en fonction des balises sur une ressource](#resource-tag-control)
+ [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le guide de l'*utilisateur IAM*
**Note**
La réplication EFS ne prend pas en charge l’utilisation de balises pour le Contrôle d’accès par attributs (ABAC).
Pour appliquer des balises aux ressources Amazon EFS lors de leur création, les utilisateurs doivent disposer de certaines autorisations (IAM) Gestion des identités et des accès AWS .
## Octroi de les autorisations de baliser les ressources lors de la création
Les actions de balisage lors de la création d’API Amazon EFS suivantes vous permettent de spécifier des balises lorsque vous créez la ressource.
+ `CreateAccessPoint`
+ `CreateFileSystem`
Pour permettre aux utilisateurs d’attribuer des balises aux ressources au moment de la création, ils doivent avoir les autorisations d’utiliser l’action qui crée les ressources (par exemple, `elasticfilesystem:CreateAccessPoint` ou `elasticfilesystem:CreateFileSystem`). Si des balises sont spécifiées dans l'action de création de ressources, octroie AWS une autorisation supplémentaire à l'`elasticfilesystem:TagResource`action pour vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d’utiliser l’action `elasticfilesystem:TagResource`.
Dans la définition de stratégie IAM de l’action `elasticfilesystem:TagResource`, utilisez l’élément `Condition` avec la clé de condition `elasticfilesystem:CreateAction` pour accorder des autorisations de balisage à l’action qui crée la ressource.
**Example stratégie : autoriser l’ajout de balises aux systèmes de fichiers uniquement lors de la création**
L’exemple de stratégie suivant permet aux utilisateurs de créer des systèmes de fichiers et appliquer des balises aux lors de la création. Les utilisateurs ne sont pas autorisés à attribuer des balises aux ressources existantes (ils ne peuvent pas appeler l’action `elasticfilesystem:TagResource` directement).
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateFileSystem"
],
"Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*"
},
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:TagResource"
],
"Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"elasticfilesystem:CreateAction": "CreateFileSystem"
}
}
}
]
}
```
## Utiliser des balises pour contrôler l’accès à vos ressources Amazon EFS
Pour contrôler l’accès aux ressources et actions Amazon EFS, vous pouvez utiliser des politiques IAM basées sur des balises. Vous pouvez fournir le contrôle de deux manières :
+ Vous pouvez contrôler l’accès aux ressources Amazon EFS en fonction des balises de ces ressources.
+ Vous pouvez contrôler les balises qui peuvent être transmises dans une condition de demande IAM.
Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès aux AWS ressources, consultez la section [Contrôle de l'accès à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*.
## Contrôle de l’accès en fonction des balises sur une ressource
Les balises permettent de contrôler les actions qu’un utilisateur ou un rôle peut effectuer sur une ressource Amazon EFS. Par exemple, vous pouvez autoriser ou refuser des opérations d’API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.
**Example politique : créer un système de fichiers uniquement lorsqu’une balise spécifique est utilisée**
L’exemple de politique suivant permet à l’utilisateur de créer un système de fichiers uniquement s’il le balise avec une paire clé-valeur de balise spécifique, dans cet exemple,,`key=Department`. `value=Finance`
```
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateFileSystem",
"elasticfilesystem:TagResource"
],
"Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example politique : Supprimer les systèmes de fichiers dotés de balises spécifiques**
L’exemple de stratégie suivant permet à un utilisateur de supprimer uniquement les systèmes de fichiers marqués avec `Department=Finance`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteFileSystem"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
------
# Utilisation des rôles liés à un service pour Amazon EFS
Amazon EFS utilise un rôle Gestion des identités et des accès AWS lié à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service Amazon EFS est un type unique de rôle IAM lié directement à Amazon EFS. Le rôle prédéfini lié au service Amazon EFS inclut les autorisations dont le service a besoin pour appeler d'autres personnes en votre Services AWS nom.
Un rôle lié à un service simplifie la configuration d’Amazon EFS, car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. Amazon EFS définit les autorisations de ses rôles liés à un service et seul Amazon EFS peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer le rôle lié à un service Amazon EFS uniquement après avoir supprimé vos systèmes de fichiers Amazon EFS. Vos ressources Amazon EFS sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l’autorisation d’accéder aux ressources.
Le rôle lié à un service permet à tous les appels d'API d'être visibles. AWS CloudTrail Cela facilite le suivi et la vérification des exigences, car vous pouvez suivre toutes les actions exécutées par Amazon EFS en votre nom. Pour de plus amples informations, veuillez consulter [Entrées de journal pour les rôles liés à un service EFS](logging-using-cloudtrail.md#efs-service-linked-role-ct).
Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Autorisations du rôle lié à un service pour Amazon EFS.
Amazon EFS utilise le rôle lié au service nommé **AWSServiceRoleForAmazonElasticFileSystem**pour permettre à Amazon EFS d'appeler et de gérer AWS des ressources pour le compte de vos systèmes de fichiers EFS.
Le rôle AWSService RoleForAmazonElasticFileSystem lié au service fait confiance à ce qu'`elasticfilesystem.amazonaws.com`il assume le rôle.
La stratégie d’autorisations liée au rôle permet à Amazon EFS de réaliser les actions incluses dans la définition de la stratégie JSON :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"backup-storage:MountCapsule",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Effect": "Allow",
"Action": [
"backup:CreateBackupVault",
"backup:PutBackupVaultAccessPolicy"
],
"Resource": [
"arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
]
},
{
"Effect": "Allow",
"Action": [
"backup:CreateBackupPlan",
"backup:CreateBackupSelection"
],
"Resource": [
"arn:aws:backup:*:*:backup-plan:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"backup.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "backup.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:CreateReplicationConfiguration",
"elasticfilesystem:DescribeReplicationConfigurations",
"elasticfilesystem:DeleteReplicationConfiguration",
"elasticfilesystem:ReplicationRead",
"elasticfilesystem:ReplicationWrite"
],
"Resource": "*"
}
]
}
```
------
**Note**
Vous devez configurer manuellement les autorisations IAM AWS KMS lorsque vous créez un nouveau système de fichiers EFS chiffré au repos. Pour en savoir plus, veuillez consulter la section [Chiffrement de données au repos](encryption-at-rest.md).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section [Autorisations relatives aux rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le Guide de l'utilisateur *IAM*.
## Création d’un rôle lié à un service pour Amazon EFS
Dans la plupart des cas, il n'est pas nécessaire de créer manuellement un rôle lié à un service. Lorsque vous créez des cibles de montage ou une configuration de réplication pour votre système de fichiers EFS dans l' AWS Management Console AWS CLI AWS API, Amazon EFS crée le rôle lié au service pour vous.
En outre, si vous le supprimez manuellement service-linked-role, puis que vous devez le créer à nouveau, vous pouvez utiliser le même processus pour recréer le rôle dans votre compte. Lorsque vous créez des cibles de montage ou une configuration de réplication pour votre système de fichiers EFS, Amazon EFS crée le rôle lié au service pour vous.
Toutefois, si Amazon EFS ne crée pas le service-linked-role ou si vous avez commencé à utiliser Amazon EFS avant qu'il ne prenne en charge les rôles liés à un service, vous pouvez créer manuellement le rôle lié à un service. Pour obtenir des instructions, consultez la section [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) dans le guide de l'utilisateur *IAM*.
## Modification d’un rôle lié à un service pour Amazon EFS
Amazon EFS ne vous autorise pas à modifier le rôle lié à un service `AWSServiceRoleForAmazonElasticFileSystem`. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir [Mettre à jour un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) dans le Guide de l'utilisateur *IAM*.
## Suppression d’un rôle lié à un service pour Amazon EFS
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement. Pour de plus amples informations, veuillez consulter [Nettoyez les ressources et protégez votre AWS compte](getting-started.md#gs-step-five-cleanup).
**Note**
Si le service Amazon EFS utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForAmazonElasticFileSystem service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles liés aux services Amazon EFS
Amazon EFS prend en charge l'utilisation de rôles liés à un service partout Régions AWS où le service est disponible. Pour plus d'informations, consultez la section [Points AWS de terminaison du service](https://docs.aws.amazon.com/general/latest/gr/rande.html) dans le *Guide de Références générales AWS l'utilisateur*.
# Résolution de problèmes pour l’identité et l’accès Amazon Elastic File System
Utilisez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous utilisez Amazon EFS et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Amazon EFS](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources Amazon EFS](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Amazon EFS
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `elasticfilesystem:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: elasticfilesystem:GetWidget on resource: my-example-widget
```
Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `elasticfilesystem:GetWidget`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter l’action `iam:PassRole`, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Amazon EFS.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` essaie d’utiliser la console pour effectuer une action dans Amazon EFS. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources Amazon EFS
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon EFS est compatible avec ces fonctionnalités, veuillez consulter [Comment Amazon Elastic File System fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation de l'IAM pour contrôler l'accès aux systèmes de fichiers
Vous pouvez utiliser à la fois des stratégies d’identité IAM et des stratégies de ressource pour contrôler l’accès client NFS aux ressources Amazon EFS d’une manière évolutive et optimisée pour les environnements sur le cloud. En utilisant IAM, vous pouvez autoriser les clients à effectuer des actions spécifiques sur un système de fichiers, y compris l’accès racine, en lecture seule et en écriture. Une autorisation « d’autorisation » sur une action *dans* le cadre d’une stratégie d’identité IAM *ou* d’une politique de ressources du système de fichiers autorise l’accès à cette action. L’autorisation n’a pas besoin d’être accordée à la *fois* dans une politique d’identité *et* dans une politique de ressources.
Les clients NFS peuvent s’identifier à l’aide d’un rôle IAM lors de la connexion à un système de fichiers EFS. Lorsqu’un client se connecte à un système de fichiers, Amazon EFS évalue la stratégie de ressources IAM du système de fichiers (appelée « stratégie de système de fichiers ») ainsi que les politiques IAM basées sur l’identité afin de déterminer les autorisations d’accès au système de fichiers appropriées à accorder.
Lorsque vous utilisez l’autorisation IAM pour des clients NFS, les connexions client et les décisions d’autorisation IAM sont consignées dans AWS CloudTrail. Pour plus d'informations sur la journalisation des appels d'API Amazon EFS avec CloudTrail, consultez[Journalisation des appels d'API Amazon EFS avec AWS CloudTrail](logging-using-cloudtrail.md).
**Important**
Vous devez utiliser l'assistant de montage EFS pour monter vos systèmes de fichiers EFS afin d'utiliser l'autorisation IAM pour contrôler l'accès des clients. Pour de plus amples informations, veuillez consulter [Montage avec autorisation IAM](mounting-IAM-option.md).
## Stratégie de système de fichiers EFS par défaut
La stratégie du système de fichiers EFS par défaut n’utilise pas IAM pour l’authentification et accorde un accès complet à tout client anonyme pouvant se connecter au système de fichiers à l’aide d’une cible de montage. La politique par défaut est en vigueur quand aucune politique de système de fichiers configurée par l’utilisateur n’est en vigueur, y compris au moment de la création du système de fichiers. Chaque fois que la stratégie de système de fichiers par défaut est en vigueur, une opération d’API `DescribeFileSystemPolicy` renvoie une réponse `PolicyNotFound`.
## Actions EFS pour les clients
Vous pouvez spécifier les actions suivantes pour les clients sur un système de fichiers à l’aide d’une stratégie de système de fichiers.
| Action | Description |
| --- | --- |
| `elasticfilesystem:ClientMount` | Fournit un accès en lecture seule à un système de fichiers. |
| `elasticfilesystem:ClientWrite` | Fournit les droits d’écriture sur un système de fichiers. |
| `elasticfilesystem:ClientRootAccess` | Permet d’utiliser l’utilisateur root lors de l’accès à un système de fichiers. |
## Clés de condition EFS pour les clients NFS
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Amazon EFS dispose des clés de condition prédéfinies suivantes pour les clients NFS. Aucune autre clé de condition n’est appliquée lors de l’utilisation des contrôles IAM pour sécuriser l’accès aux systèmes de fichiers EFS.
| Clé de condition EFS | Description | Opérateur |
| --- | --- | --- |
| aws:SecureTransport | Utilisez cette clé pour exiger que les clients utilisent TLS lors de la connexion à un système de fichiers EFS. | Booléen |
| aws:SourceIp | Utilisez cette clé pour comparer l'adresse IP du demandeur avec celle spécifiée dans la politique. La clé de condition aws:SourceIp ne peut être utilisée que pour les plages d'adresses IP publiques. | String |
| elasticfilesystem:AccessPointArn | ARN du point d’accès EFS auquel le client se connecte. | String |
| elasticfilesystem:AccessedViaMountTarget | Utilisez cette clé pour empêcher les clients qui n’utilisent pas de cibles de montage de systèmes de fichiers d’accéder à un système de fichiers EFS. | Booléen |
## Exemples de stratégie de système de fichiers
Pour consulter des exemples de politiques relatives aux systèmes de fichiers Amazon EFS, consultez [Exemples de politiques basées sur les ressources pour Amazon EFS](security_iam_resource-based-policy-examples.md).
# Validation de conformité pour Amazon EFS
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Résilience dans Amazon EFS
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité (AZs). Régions AWS fournissent plusieurs réseaux physiquement séparés et isolés AZs, connectés par un réseau à faible latence, à haut débit et hautement redondant. Vous pouvez ainsi concevoir et exploiter des applications et des bases de données qui basculent automatiquement entre les zones sans interruption. AZs AZssont plus hautement disponibles, tolérants aux pannes et évolutifs que les infrastructures traditionnelles de centres de données uniques ou multiples.
Les systèmes de fichiers Amazon EFS sont résilients face à une ou plusieurs défaillances de zone de disponibilité au sein d’une Région AWS. Les cibles de montage sont elles-mêmes conçues pour être hautement disponibles. Lorsque vous concevez pour une haute disponibilité et un basculement vers une autre solution AZs, gardez à l'esprit que, même si les adresses IP et le DNS de vos cibles de montage dans chaque zone de disponibilité sont statiques, il s'agit de composants redondants soutenus par de multiples ressources. Pour de plus amples informations, veuillez consulter [Utiliser Amazon EFS avec Amazon EC2](how-it-works.md#how-it-works-ec2).
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Contrôle de l'accès réseau aux systèmes de fichiers EFS pour les clients NFS
Vous pouvez contrôler l’accès par les clients NFS aux systèmes de fichiers à l’aide de stratégies de sécurité de la couche réseau et de systèmes de fichiers EFS. Vous pouvez utiliser les mécanismes de sécurité de la couche réseau disponibles avec Amazon EC2, tels que les règles des groupes de sécurité VPC et le réseau. ACLs Vous pouvez également utiliser AWS IAM pour contrôler l'accès NFS à l'aide d'une politique de système de fichiers EFS et de politiques basées sur l'identité.
**Topics**
+ [Utilisation de groupes de sécurité VPC](network-access.md)
+ [Utilisation des points de terminaison VPC d'interface dans Amazon EFS](efs-vpc-endpoints.md)
# Utilisation de groupes de sécurité VPC
Lorsque vous utilisez Amazon EFS, vous spécifiez des groupes de sécurité VPC pour vos instances EC2 et des groupes de sécurité pour les cibles de montage EFS associées au système de fichiers. Les groupes de sécurité font office de pare-feu, et les règles que vous ajoutez définissent le flux de trafic. Dans l'[exercice Getting started](getting-started.md), vous avez créé un groupe de sécurité lorsque vous avez lancé l'instance EFS. Vous en avez ensuite associé un autre avec la cible de montage EFS (c’est-à-dire, le groupe de sécurité par défaut pour votre VPC par défaut). Cette approche fonctionne pour l'exercice Getting Started. Toutefois, pour un système de production, vous devez configurer des groupes de sécurité dotés d'autorisations minimales pour une utilisation avec Amazon EFS.
Vous pouvez autoriser l’accès entrant et sortant à votre système de fichiers EFS. Pour ce faire, vous ajoutez des règles qui permettent aux instances EFS de se connecter à votre système de fichiers EFS via la cible de montage à l'aide du port NFS (Network File System).
+ Chaque instance EC2 qui monte le système de fichiers doit disposer d'un groupe de sécurité doté d'une règle autorisant l'accès sortant à la cible de montage sur le port **NFS** 2049.
+ La cible de montage EFS doit disposer d'un groupe de sécurité doté d'une règle autorisant l'accès entrant sur le port NFS 2049 à partir de chaque instance EC2 sur laquelle vous souhaitez monter le système de fichiers.
Le tableau suivant indique les règles spécifiques des groupes de sécurité requises :
| Security Group | Type de règle | Protocole | Port | Source/Destination |
| --- | --- | --- | --- | --- |
| Instance EC2 | Sortant | TCP | 2049 | Monter le groupe de sécurité cible |
| Cible de montage | Entrant | TCP | 2049 | Groupe de sécurité d'instance EC2 |
## Ports source pour travailler avec Amazon EFS
Afin de prendre en charge une large gamme de clients NFS, Amazon EFS autorise les connexions à partir de n’importe quel port source. Si vous avez besoin que seuls des utilisateurs privilégiés puissent accéder à Amazon EFS, nous vous recommandons d’utiliser la règle de pare-feu client suivante. Connectez-vous à votre système de fichiers à l’aide de SSH et exécutez la commande suivante :
```
iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP
```
Cette commande insère une nouvelle règle au début de la chaîne OUTPUT (`-I OUTPUT 1`). La règle empêche tout processus non privilégié n'appartenant pas au noyau (`-m owner --uid-owner 1-4294967294`) d'ouvrir une connexion au port NFS 2049 (). `-m tcp -p tcp –dport 2049`
## Considérations relatives à la sécurité pour l’accès réseau
Un client NFS version 4.1 (NFSv4.1) ne peut monter un système de fichiers que s'il peut établir une connexion réseau avec le port NFS (port TCP 2049) de l'une des cibles de montage du système de fichiers. De même, un client NFSv4 .1 ne peut affirmer un identifiant d'utilisateur et de groupe lors de l'accès à un système de fichiers que s'il peut établir cette connexion réseau.
La possibilité d’établir une telle connexion réseau est régie par une combinaison des éléments suivants :
+ **Isolement réseau fourni par le VPC des cibles de montage** – Les cibles de montage du système de fichiers ne peuvent pas être associées à des adresses IP publiques. Les seules cibles qui peuvent monter les systèmes de fichiers sont les suivantes :
+ Instances Amazon EC2 dans le VPC Amazon local
+ Les instances EC2 sont connectées VPCs
+ Serveurs sur site connectés à un Amazon VPC à AWS Direct Connect l'aide d' AWS Virtual Private Network un (VPN)
+ **Listes de contrôle d'accès réseau (ACLs) pour les sous-réseaux VPC du client et des cibles de montage, pour l'accès depuis l'extérieur des sous-réseaux de la cible de montage** — Pour monter un système de fichiers, le client doit être en mesure d'établir une connexion TCP au port NFS 2049 d'une cible de montage et de recevoir le trafic de retour.
+ **Règles des groupes de sécurité VPC du client et des cibles de montage, pour tous les accès** – Pour qu’une instance EC2 puisse monter un système de fichiers, les règles de groupe de sécurité suivantes doivent être en vigueur :
+ Le système de fichiers doit avoir une cible de montage dont l'interface réseau possède un groupe de sécurité doté d'une règle autorisant les connexions entrantes sur le port NFS 2049 à partir de l'instance. Vous pouvez activer les connexions entrantes par adresse IP (plage d’adresses CIDR) ou par groupe de sécurité. La source des règles du groupe de sécurité du port NFS entrant sur les interfaces réseau de cible de montage est un élément clé pour le contrôle d’accès des systèmes de fichiers. Les règles entrantes autres que celle du port NFS 2049, et les règles sortantes, ne sont pas utilisées par les interfaces réseau pour les cibles de montage du système de fichiers.
+ L'instance de montage doit disposer d'une interface réseau dotée d'une règle de groupe de sécurité qui autorise les connexions sortantes vers le port NFS 2049 sur l'une des cibles de montage du système de fichiers. Vous pouvez activer les connexions sortantes par adresse IP (plage d’adresses CIDR) ou par groupe de sécurité.
Pour de plus amples informations, veuillez consulter [Gérer des cibles de Montage](accessing-fs.md).
## Création de groupes de sécurité
**Pour créer des groupes de sécurité pour les instances EC2 et les cibles de montage EFS**
Voici les étapes générales que vous allez suivre lors de la création des groupes de sécurité pour Amazon EFS. Pour obtenir des instructions sur la création des groupes de sécurité, consultez la section [Créer un groupe de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) dans le guide de l'*utilisateur Amazon VPC*.
1. Pour vos instances EC2, créez un groupe de sécurité avec les règles suivantes :
+ Règle entrante qui autorise l'accès entrant via Secure Shell (SSH) sur le **port 22** depuis votre adresse IP ou votre réseau. Vous pouvez éventuellement restreindre l'adresse **source** pour des raisons de sécurité.
+ Règle sortante qui autorise l'accès sortant sur le port NFS 2049 au groupe de sécurité cible de montage. Identifiez le groupe de sécurité cible du montage comme destination.
1. Pour votre cible de montage EFS, créez un groupe de sécurité avec les règles suivantes :
+ Règle entrante qui autorise l'accès au port NFS 2049 depuis le groupe de sécurité EC2. Identifier le groupe de sécurité EC2 comme source.
**Note**
Il n'est pas nécessaire d'ajouter de règle sortante car la règle sortante par défaut autorise tout le trafic sortant.
# Utilisation des points de terminaison VPC d'interface dans Amazon EFS
Pour établir une connexion privée entre votre cloud privé virtuel (VPC) et l’API Amazon EFS, vous pouvez créer un point de terminaison d’un VPC d’interface. Le point de terminaison fournit une connectivité sécurisée à l’API Amazon EFS sans nécessiter une passerelle Internet, une instance NAT ou un réseau privé virtuel (VPN). Pour plus d'informations, consultez la section [Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dans le guide de l'utilisateur Amazon *VPC*.
Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une fonctionnalité qui permet une communication privée entre les AWS services à l'aide d'adresses IP privées. Pour l'utiliser AWS PrivateLink, créez un point de terminaison VPC d'interface pour Amazon EFS dans votre VPC à l'aide de la console, de l'API ou de la CLI Amazon VPC. Cela crée une interface réseau élastique dans votre sous-réseau avec une adresse IP privée qui sert les demandes d’API Amazon EFS. Vous pouvez également accéder à un point de terminaison VPC depuis des environnements sur site ou depuis une autre VPCs utilisation Site-to-Site VPN, Direct Connect ou depuis le peering VPC. Pour en savoir plus, consultez [Connecter votre VPC aux services à l'aide](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) du guide de AWS PrivateLink l'utilisateur Amazon *VPC*.
## Création d'un point de terminaison d'interface pour Amazon EFS
Pour créer un point de terminaison d’un VPC d’interface pour Amazon EFS, utilisez l’une des méthodes suivantes :
+ `com.amazonaws.region.elasticfilesystem` – Crée un point de terminaison pour les opérations d’API Amazon EFS.
+ **`com.amazonaws.region.elasticfilesystem-fips`** – Crée un point de terminaison pour l’API Amazon EFS conforme à la [norme Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Pour obtenir la liste complète des points de terminaison Amazon EFS, consultez la section Points de [terminaison et quotas Amazon Elastic File System](https://docs.aws.amazon.com/general/latest/gr/elasticfilesystem.html) dans le. *Référence générale d'Amazon Web Services*
Pour plus d'informations sur la création d'un point de terminaison d'interface, consultez [Accéder à un AWS service à l'aide d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dans le guide de l'utilisateur Amazon *VPC*.
## Création d'une politique de point de terminaison VPC pour Amazon EFS
Pour contrôler l'accès à l'API Amazon EFS, vous pouvez associer une politique Gestion des identités et des accès AWS (IAM) à votre point de terminaison VPC. La stratégie spécifie les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôle de l’accès aux points de terminaison d’un VPC à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.
L’exemple suivant montre une stratégie de point de terminaison d’un VPC qui refuse à tout le monde l’autorisation de créer un système de fichiers EFS via le point de terminaison. L’exemple de politique accorde également à tout le monde l’autorisation d’effectuer toutes les autres actions.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "elasticfilesystem:CreateFileSystem",
"Effect": "Deny",
"Resource": "*",
"Principal": "*"
}
]
}
```
# Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS)
Après la création d’un système de fichiers, par défaut, seul l’utilisateur racine (UID 0) dispose d’autorisations de lecture-écriture-exécution. Pour que d’autres utilisateurs puissent modifier le système de fichiers, l’utilisateur racine doit leur accorder explicitement l’accès. Vous pouvez utiliser des points d’accès pour automatiser la création de répertoires accessibles en écriture à partir d’un utilisateur non racine. Pour de plus amples informations, veuillez consulter [Utilisation des points d’accès](efs-access-points.md).
Un mode de style Unix est associé aux objets du système de fichiers EFS. La valeur de ce mode définit les autorisations permettant d’effectuer des actions au niveau de cet objet. Les utilisateurs familiers avec les systèmes de style UNIX comprendront facilement comment Amazon EFS se comporte quant à ces autorisations.
En outre, sur les systèmes de type Unix, les utilisateurs et les groupes sont mappées à des identificateurs numériques, lesquels sont utilisés par Amazon EFS pour représenter la propriété de fichier. Pour Amazon EFS, les objets du système de fichiers (c’est-à-dire les fichiers, les répertoires, etc.) appartiennent à un seul propriétaire et à un seul groupe. Amazon EFS utilise le numérique mappé IDs pour vérifier les autorisations lorsqu'un utilisateur tente d'accéder à un objet du système de fichiers.
**Note**
Le protocole NFS prend en charge un maximum de 16 groupes IDs (GIDs) par utilisateur et tous les groupes supplémentaires GIDs sont tronqués à partir des demandes des clients NFS. Pour de plus amples informations, veuillez consulter [Accès refusé aux fichiers autorisés sur le système de fichiers NFS](troubleshooting-efs-general.md#nfs-16-group-limit).
Vous trouverez ci-dessous des exemples d’autorisations et une discussion sur les considérations relatives aux autorisations de NFS pour Amazon EFS.
**Topics**
+ [Autorisations sur les fichiers et les répertoires](user-and-group-permissions.md)
+ [Exemples de cas d'utilisation et d'autorisations du système de fichiers EFS](#accessing-fs-nfs-permissions-ex-scenarios)
+ [Autorisations d'identification d'utilisateur et de groupe pour les fichiers et les répertoires d'un système de fichiers](#accessing-fs-nfs-permissions-uid-gid)
+ [Aucun écrasement racine](#accessing-fs-nfs-permissions-root-user)
+ [Mise en cache des autorisations](#accessing-fs-nfs-permissions-caching)
+ [Modification de la propriété d’un objet du système de fichiers](#accessing-fs-nfs-permissions-chown-restricted)
+ [Points d’accès EFS](#accessing-fs-nfs-permissions-access-points)
# Autorisations sur les fichiers et les répertoires
Les fichiers et les répertoires d'un système de fichiers EFS prennent en charge les autorisations de lecture, d'écriture et d'exécution standard de style UNIX basées sur l'identifiant d'utilisateur et de groupe affirmé par le client NFSv4 .1 de montage, sauf si un point d'accès EFS est remplacé par un point d'accès EFS. Pour de plus amples informations, veuillez consulter [Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS)](accessing-fs-nfs-permissions.md).
**Note**
Par défaut, cette couche de contrôle d'accès dépend de la confiance accordée au client NFSv4 .1 pour ce qui est de l'affirmation de l'identifiant de l'utilisateur et du groupe. Vous pouvez utiliser des politiques basées sur les ressources Gestion des identités et des accès AWS (IAM) et des politiques d'identité pour autoriser les clients NFS et fournir des autorisations d'accès en lecture seule, en écriture et en root. Vous pouvez utiliser des points d’accès EFS pour remplacer les informations d’identité d’utilisateur et de groupe du système d’exploitation fournies par le client NFS. Pour plus d’informations, consultez [Utilisation de l'IAM pour contrôler l'accès aux systèmes de fichiers](iam-access-control-nfs-efs.md) et [Création de points d’accès](create-access-point.md).
À titre d’exemple d’autorisations de lecture, d’écriture et d’exécution pour les fichiers et les répertoires, Alice peut avoir des autorisations lui permettant de lire et d’écrire dans tout fichier de son répertoire personnel sur un système de fichiers, `/alice`. Toutefois, dans cet exemple, Alice n’est pas autorisée à lire ni à écrire dans les fichiers du répertoire personnel de Mark sur le même système de fichiers, `/mark`. Alice et Mark sont tous deux autorisés à lire, mais pas à écrire, sur les fichier du répertoire partagé `/share`.
## Exemples de cas d'utilisation et d'autorisations du système de fichiers EFS
Après avoir créé un système de fichiers EFS et monté des cibles pour le système de fichiers dans votre VPC, vous pouvez monter le système de fichiers distant localement sur votre instance Amazon EC2. La commande `mount` permet de monter un répertoire sur le système de fichiers. Toutefois, lorsque vous créez le système de fichiers pour la première fois, un seul répertoire racine se trouve à l’emplacement `/`. L’utilisateur racine et le groupe racine sont propriétaires du répertoire monté.
La commande `mount` suivante permet de monter le répertoire racine d’un système de fichiers Amazon EFS, identifié par le nom DNS de système de fichiers, dans le répertoire local `/efs-mount-point`.
```
sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point
```
Le mode d’autorisations initial autorise :
+ des autorisations `read-write-execute` sur le propriétaire *racine*
+ des autorisations `read-execute` sur le groupe *racine*
+ des autorisations `read-execute` sur les autres
Seul l’utilisateur racine peut modifier ce répertoire. L’utilisateur racine peut aussi accorder des autorisations à d’autres utilisateurs pour l’écriture dans ce répertoire, par exemple :
+ Créer des sous-répertoires par utilisateur accessibles en écriture. Pour step-by-step obtenir des instructions, voir[Tutoriel : Création de sous-répertoires accessibles en écriture par utilisateur](accessing-fs-nfs-permissions-per-user-subdirs.md).
+ Autorisez les utilisateurs à écrire à la racine du système de fichiers EFS. Un utilisateur avec des privilèges racine peut accorder à d’autres utilisateurs l’accès au système de fichiers.
+ Pour attribuer la propriété du système de fichiers EFS à un utilisateur et à un groupe non *root*, procédez comme suit :
```
$ sudo chown user:group /EFSroot
```
+ Pour remplacer les autorisations du système de fichiers par des autorisations moins restrictives, utilisez la commande suivante :
```
$ sudo chmod 777 /EFSroot
```
Cette commande accorde des read-write-execute privilèges à tous les utilisateurs sur toutes les instances EC2 sur lesquelles le système de fichiers est monté.
## Autorisations d'identification d'utilisateur et de groupe pour les fichiers et les répertoires d'un système de fichiers
Les fichiers et les répertoires d'un système de fichiers EFS prennent en charge les autorisations de lecture, d'écriture et d'exécution standard de style UNIX en fonction de l'ID utilisateur et du groupe. IDs Lorsqu’un client NFS monte un système de fichiers EFS sans utiliser de point d’accès, l’ID utilisateur et l’ID de groupe fournis par le client sont approuvés. Vous pouvez utiliser les points d'accès EFS pour remplacer l'ID utilisateur et le groupe IDs utilisés par le client NFS. Lorsque des utilisateurs tentent d'accéder à des fichiers et à des répertoires, Amazon EFS contrôle leur utilisateur IDs et leur groupe IDs pour vérifier que chaque utilisateur est autorisé à accéder aux objets. Amazon EFS les utilise également IDs pour indiquer le propriétaire et le propriétaire du groupe pour les nouveaux fichiers et répertoires créés par l'utilisateur. Amazon EFS n’examine pas les noms des utilisateurs ou des groupes, il utilise uniquement les identifiants numériques.
**Note**
Lorsque vous créez un utilisateur sur une instance EC2, vous pouvez lui affecter un ID utilisateur (UID) et un ID de groupe (GID) numériques. Les utilisateurs numériques IDs sont définis dans le `/etc/passwd` fichier sur les systèmes Linux. Le groupe numérique IDs se trouve dans le `/etc/group` fichier. Ces fichiers définissent les mappings entre les noms et les ID. En dehors de l'instance EC2, Amazon EFS n'effectue aucune authentification pour ces derniers IDs, y compris l'ID racine 0.
Si un utilisateur accède à un système de fichiers EFS à partir de deux instances EC2 différentes, selon que l'UID de l'utilisateur est identique ou différent sur ces instances, vous constatez un comportement différent, comme suit :
+ Si les ID d’utilisateur sont identiques sur les deux instances EC2, Amazon EFS estime qu’ils indiquent le même utilisateur, quelle que soit l’instance EC2 utilisée. L’expérience utilisateur lors de l’accès au système de fichiers est la même depuis les deux instances EC2.
+ Si les ID d’utilisateur ne sont pas les mêmes sur les deux instances EC2, Amazon EFS considère les utilisateurs comme étant des utilisateurs différents. L'expérience utilisateur n'est pas la même lorsqu'il accède au système de fichiers EFS à partir de deux instances EC2 différentes.
+ Si deux utilisateurs différents sur différentes instances EC2 partagent un ID, Amazon EFS estime qu’il s’agit du même utilisateur.
Vous pouvez envisager de gérer les mappings d’ID utilisateur sur les instances EC2 de manière cohérente. Les utilisateurs peuvent vérifier leur ID numérique à l’aide de la commande `id` .
```
$ id
uid=502(joe) gid=502(joe) groups=502(joe)
```
### Désactivation de l’outil de mappage d’ID
Les utilitaires NFS du système d'exploitation incluent un démon appelé ID Mapper qui gère le mappage entre les noms d'utilisateur et. IDs Dans Amazon Linux, ce démon est appelé `rpc.idmapd` et sur Ubuntu il est appelé `idmapd`. Il convertit les ID utilisateur et ID de groupe en noms et inversement. Toutefois, Amazon EFS gère uniquement les ID numériques. Nous vous recommandons de désactiver ce processus sur vos instances EC2. Sur Amazon Linux, l’outil de mappage d’ID est généralement désactivé. Si tel est le cas, ne l’activez pas. Pour désactiver l’outil de mappage d’ID, utilisez la commande illustrée ci-dessous.
```
$ service rpcidmapd status
$ sudo service rpcidmapd stop
```
## Aucun écrasement racine
Par défaut, l’écrasement root est désactivé sur les systèmes de fichiers EFS. Amazon EFS se comporte comme un serveur NFS Linux avec `no_root_squash`. Si un ID d’utilisateur ou de groupe est 0, Amazon EFS traite cet utilisateur en tant qu’utilisateur `root`, et il omet les vérifications d’autorisations (en autorisant l’accès à tous les objets de système de fichiers et leur modification). L'écrasement root peut être activé sur une connexion client lorsque la politique d'identité ou de ressource Gestion des identités et des accès AWS (AWS IAM) n'autorise pas l'accès à l'`ClientRootAccess`action. Lorsque l’écrasement racine est activé, l’utilisateur racine est converti en utilisateur disposant d’autorisations limitées sur le serveur NFS.
Pour de plus amples informations, veuillez consulter [Utilisation de l'IAM pour contrôler l'accès aux systèmes de fichiers](iam-access-control-nfs-efs.md).
### Activer l'écrasement des racines à l'aide de l'autorisation IAM pour les clients NFS
Vous pouvez configurer Amazon EFS pour empêcher l'accès root à votre système de fichiers EFS pour tous les AWS principaux, à l'exception d'un seul poste de gestion. Pour ce faire, configurez l’autorisation Gestion des identités et des accès AWS (IAM) pour les clients NFS (Network File System).
Pour ce faire, vous devez configurer deux stratégies d’autorisation IAM comme suit :
+ Créez une stratégie de système de fichiers EFS qui autorise explicitement l’accès en lecture et en écriture au système de fichiers et qui refuse implicitement l’accès racine.
+ Attribuez une identité IAM à la station de travail de gestion Amazon EC2 qui nécessite un accès root au système de fichiers à l'aide d'un profil d'instance EC2. Pour plus d'informations sur les profils d'instance Amazon EC2, consultez la section [Utiliser des profils d'instance dans le guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) de l'*Gestion des identités et des accès AWS utilisateur*.
+ Attribuez la politique `AmazonElasticFileSystemClientFullAccess` AWS gérée au rôle IAM de la station de travail de gestion. Pour plus d'informations sur les politiques AWS gérées pour Amazon EFS, consultez[Gestion des identités et des accès pour Amazon EFS](security-iam.md).
Pour activer l’écrasement racine à l’aide de l’autorisation IAM pour les clients NFS, procédez comme suit :
**Pour empêcher l’accès de la racine au système de fichiers**
1. Ouvrez la console Amazon Elastic File System à l'adresse [https://console.aws.amazon.com/efs/](https://console.aws.amazon.com/efs/).
1. Choisissez **File Systems (Systèmes de fichiers)**.
1. Choisissez le système de fichiers sur lequel vous souhaitez activer l'écrasement root.
1. Sur la page de détails du système de **fichiers, choisissez Stratégie du système** de fichiers, puis **Modifier**. La page **File system policy (Stratégie du système de fichiers)** s’affiche.
1. **Choisissez **Empêcher l’accès root par défaut\$1 dans les options** de politique.** L’objet JSON de politique apparaît dans l’**éditeur de stratégie**.
1. Choisissez **Save (Enregistrer)** pour enregistrer la stratégie de système de fichiers.
Les clients non anonymes peuvent obtenir un accès racine au système de fichiers via une stratégie basée sur l’identité. Lorsque vous associez la stratégie gérée `AmazonElasticFileSystemClientFullAccess` au rôle de la station de travail, IAM accorde l’accès racine à la station de travail en fonction de sa stratégie d’identité.
**Pour activer l’accès racine à partir de la station de travail de gestion**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Créez un rôle pour Amazon EC2 appelé `EFS-client-root-access`. IAM crée un profil d’instance portant le même nom que le rôle EC2 que vous avez créé.
1. Assignez la politique AWS gérée `AmazonElasticFileSystemClientFullAccess` au rôle EC2 que vous avez créé. Le contenu de cette stratégie est présenté ci-dessous.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientRootAccess",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
}
]
}
```
------
1. Attachez le profil d’instance à l’instance EC2 que vous utilisez comme station de travail de gestion, comme décrit ci-dessous. Pour plus d’informations, veuillez consulter les informations relatives à l’[attachement d’un rôle IAM à une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) dans le *Guide de l’utilisateur Amazon EC2 pour les instances Linux*.
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, choisissez **Instances**.
1. Choisissez l’instance. Pour **Actions**, choisissez **Instance Settings (Paramètres d’instance)**, puis **Attach/Replace IAM role (Attacher/Remplacer le rôle IAM)**.
1. Sélectionnez le rôle IAM que vous avez créé lors de la première étape, `EFS-client-root-access`, puis choisissez **Apply (Appliquer)**.
1. Installez l’assistant de montage EFS sur la station de travail de gestion. Pour plus d'informations sur l'assistant de montage EFS et le amazon-efs-utils package, consultez. [Installation du client Amazon EFS](using-amazon-efs-utils.md)
1. Montez le système de fichiers EFS sur la station de travail de gestion à l’aide de la commande suivante avec l’option `iam` mount.
```
$ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point
```
Vous pouvez configurer l’instance Amazon EC2 pour qu’elle monte automatiquement le système de fichiers avec autorisation IAM. Pour en savoir plus sur le montage d’un système de fichiers EFS avec autorisation IAM, consultez [Montage avec autorisation IAM](mounting-IAM-option.md).
## Mise en cache des autorisations
Amazon EFS met en cache les autorisations de fichiers pendant une courte période. Par conséquent, un utilisateur dont l’accès a été récemment révoqué peut encore accéder à cet objet pendant une brève période.
## Modification de la propriété d’un objet du système de fichiers
Amazon EFS applique l’attribut `chown_restricted` POSIX. Cela signifie que seul l’utilisateur racine peut modifier le propriétaire d’un objet du système de fichiers. L’utilisateur racine ou propriétaire peut modifier le groupe propriétaire d’un objet du système de fichiers. Cependant, à moins que l’utilisateur soit de type racine, le groupe ne peut être remplacé que par un groupe dont l’utilisateur propriétaire est un membre.
## Points d’accès EFS
Un *point d’accès* applique un utilisateur, un groupe et un chemin d’accès du système de fichiers pour système d’exploitation à toute demande de système de fichiers effectuée à l’aide du point d’accès. L’utilisateur et le groupe du système d’exploitation du point d’accès remplacent toutes les informations d’identité fournies par le client NFS. Le chemin d’accès du système de fichiers est exposé au client en tant que répertoire racine du point d’accès. Cette approche garantit que chaque application utilise toujours l’identité correcte du système d’exploitation et le bon répertoire lors de l’accès à des ensembles de données basés sur des fichiers partagés. Les applications utilisant le point d’accès peuvent uniquement accéder aux données dans leur propre répertoire et en dessous. Pour plus d’informations sur les points d’accès, consultez [Utilisation des points d’accès](efs-access-points.md).
# Utilisation des points d’accès
Les *points d'accès* EFS sont des points d'entrée spécifiques à une application dans un système de fichiers EFS qui facilitent la gestion de l'accès des applications aux ensembles de données partagés. Les points d’accès peuvent appliquer de manière forcée une identité d’utilisateur, y compris les groupes POSIX de l’utilisateur, pour toutes les demandes de système de fichiers effectuées via le point d’accès. Les points d’accès peuvent également appliquer de manière forcée un répertoire racine différent pour le système de fichiers afin que les clients puissent uniquement accéder aux données stockées dans le répertoire spécifié ou dans les sous-répertoires.
Vous pouvez utiliser des politiques Gestion des identités et des accès AWS (IAM) pour garantir que des applications spécifiques utilisent un point d'accès spécifique. En combinant des politiques IAM avec des points d’accès, vous pouvez facilement fournir un accès sécurisé à des ensembles de données spécifiques pour vos applications.
Vous pouvez créer des points d'accès pour un système de fichiers EFS existant à l'aide de AWS Management Console, the AWS Command Line Interface (AWS CLI) et de l'API Amazon EFS. Pour step-by-step les procédures de création d'un point d'accès, voir[Création de points d’accès](create-access-point.md).
## Les points d'accès fonctionnent avec des cibles de montage
Vous devez créer au moins une cible de montage dans votre VPC avant d'utiliser des points d'accès. Les cibles de montage fournissent la connectivité réseau à votre système de fichiers EFS, tandis que les points d'accès fournissent le contrôle d'accès et les points d'entrée spécifiques à l'application.
Les points d'accès héritent de l'emplacement de la zone de disponibilité de la cible de montage.
+ Les groupes de sécurité sont appliqués au niveau de la cible de montage, et non au niveau du point d'accès.
+ Les points d'accès sont disponibles dans toutes les zones de disponibilité où vous avez des cibles de montage.
+ La clé de condition IAM `elasticfilesystem:AccessedViaMountTarget` garantit l'accès au système de fichiers uniquement via des cibles de montage, ce qui s'applique à la fois aux montages directs et aux montages par point d'accès.
Vous utilisez l’assistant de montage EFS lors du montage d’un système de fichiers à l’aide d’un point d’accès. Dans la commande mount, vous devez inclure l’ID du système de fichiers, l’ID du point d’accès et l’option mount `tls`, comme illustré dans l’exemple suivant.
```
$ mount -t efs -o tls,iam,accesspoint=fsap-abcdef0123456789a fs-abc0123def456789a: /localmountpoint
```
Pour plus d’informations sur le montage de systèmes de fichiers à l’aide d’un point d’accès, veuillez consulter [Montage avec points d’accès EFS](mounting-access-points.md).
**Topics**
+ [Les points d'accès fonctionnent avec des cibles de montage](#accesspoints-and-mount-targets)
+ [Application forcée d’une identité utilisateur à l’aide d’un point d’accès](enforce-identity-access-points.md)
+ [Application forcée d’un répertoire racine avec un point d’accès](enforce-root-directory-access-point.md)
+ [Utilisation des points d’accès dans les stratégies IAM](access-points-iam-policy.md)
# Application forcée d’une identité utilisateur à l’aide d’un point d’accès
Vous pouvez utiliser un point d’accès pour appliquer de manière forcée les informations d’utilisateur et de groupe pour toutes les demandes de système de fichiers effectuées via le point d’accès. Pour activer cette fonction, vous devez spécifier l’identité du système d’exploitation à appliquer de manière forcée lors de la création du point d’accès.
Dans le cadre de ce document, vous fournissez ce qui suit :
+ ID utilisateur : ID d’utilisateur POSIX numérique de l’utilisateur.
+ ID de groupe : ID de groupe POSIX numérique de l’utilisateur.
+ Groupe secondaire IDs : liste facultative de groupes secondaires IDs.
Lorsque le contrôle des utilisateurs est activé, Amazon EFS remplace l'utilisateur et le groupe du client NFS IDs par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers. L’application forcée par l’utilisateur a également l’impact suivant :
+ Le propriétaire et le groupe des nouveaux fichiers et répertoires sont définis sur l’ID utilisateur et l’ID de groupe du point d’accès.
+ L'EFS prend en compte l'ID utilisateur, l'ID de groupe et le groupe secondaire IDs du point d'accès lors de l'évaluation des autorisations du système de fichiers. EFS ignore ceux du client NFS. IDs
**Important**
L’application forcée d’une identité d’utilisateur est soumise à l’autorisation IAM `ClientRootAccess`.
Par exemple, dans certains cas, vous pouvez configurer l’ID utilisateur du point d’accès, l’ID du groupe ou les deux pour qu’ils soient à la racine (c’est-à-dire définir l’UID, le GID ou les deux sur 0). Dans ce cas, vous devez accorder l’autorisation IAM `ClientRootAccess` au client NFS.
# Application forcée d’un répertoire racine avec un point d’accès
Vous pouvez utiliser un point d’accès pour remplacer le répertoire racine d’un système de fichiers. Lors de l’application forcée d’un répertoire racine, le client NFS lié au point d’accès utilise le répertoire racine configuré sur le point d’accès au lieu du répertoire racine du système de fichiers.
Vous activez cette fonction en définissant l’attribut de point d’accès `Path` lors de la création d’un point d’accès. L’attribut `Path` est le chemin d’accès complet du répertoire racine du système de fichiers pour toutes les demandes de système de fichiers effectuées via ce point d’accès. Le chemin complet ne peut pas dépasser 100 caractères. Il peut inclure jusqu’à quatre sous-répertoires.
Lorsque vous spécifiez un répertoire racine sur un point d’accès, il devient le répertoire racine du système de fichiers pour le client NFS qui monte le point d’accès. Par exemple, supposons que le répertoire racine de votre point d’accès soit `/data`. Dans ce cas, le montage `fs-12345678:/` à l’aide du point d’accès a le même effet que le montage `fs-12345678:/data` sans l’utilisation du point d’accès.
Lorsque vous spécifiez un répertoire racine dans votre point d’accès, assurez-vous que les autorisations d’annuaire sont configurées pour permettre à l’utilisateur du point d’accès de monter correctement le système de fichiers. Plus précisément, assurez-vous que le bit d’exécution est défini pour l’utilisateur ou le groupe du point d’accès, ou pour tout le monde. Par exemple, une valeur d’autorisation d’annuaire de 755 permet au propriétaire de l’utilisateur d’annuaire de répertorier des fichiers, de créer des fichiers et de monter, et à tous les autres utilisateurs de lister des fichiers et de les monter.
## Création du répertoire racine d’un point d’accès
Si aucun chemin d’accès au répertoire racine n’existe pour un point d’accès sur le système de fichiers, Amazon EFS crée automatiquement ce répertoire racine avec la propriété et les autorisations configurables. Amazon EFS ne créera pas le répertoire racine si vous ne spécifiez pas la propriété et les autorisations du répertoire lors de sa création. Cette approche permet de provisionner l’accès au système de fichiers pour un utilisateur ou une application spécifique sans monter votre système de fichiers à partir d’un hôte Linux. Pour créer un répertoire racine, vous devez configurer la propriété et les autorisations du répertoire racine à l’aide des attributs suivants lors de la création d’un point d’accès :
+ `OwnerUid` : ID utilisateur POSIX numérique à utiliser en tant que propriétaire du répertoire racine.
+ `OwnerGiD` : ID de groupe POSIX numérique à utiliser en tant que groupe propriétaire du répertoire racine.
+ Autorisations : mode Unix du répertoire. Une configuration commune est 755. Assurez-vous que le bit d’exécution est défini pour l’utilisateur du point d’accès afin qu’il puisse être monté. Cette configuration donne au propriétaire du répertoire l’autorisation d’entrer, de répertorier et d’écrire de nouveaux fichiers dans le répertoire. Elle donne à tous les autres utilisateurs l’autorisation d’entrer et de répertorier des fichiers. Pour plus d’informations sur l’utilisation des modes de fichier et de répertoire Unix, veuillez consulter [Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS)](accessing-fs-nfs-permissions.md).
Amazon EFS crée un répertoire racine de point d'accès uniquement si le nom OwnUid, le OwnGid et les autorisations sont spécifiés pour le répertoire. Si vous ne fournissez pas ces informations, Amazon EFS ne crée pas le répertoire racine. Si le répertoire racine n’existe pas, les tentatives de montage au moyen du point d’accès échoueront.
Lorsque vous montez un système de fichiers avec un point d'accès, le répertoire racine du point d'accès est créé s'il n'existe pas déjà, à condition que le répertoire racine OwnerUid et les autorisations aient été spécifiés lors de la création du point d'accès. Si le répertoire racine du point d’accès existe déjà au moment du montage, les autorisations existantes ne seront pas écrasées par le point d’accès. Si vous supprimez le répertoire racine, EFS le recréera lorsque le système de fichiers sera monté de nouveau à l’aide du point d’accès.
**Note**
Amazon EFS ne créera pas le répertoire racine si vous ne spécifiez pas la propriété et les autorisations du répertoire racine du point d’accès. Toutes les tentatives de montage du point d’accès échoueront.
## Modèle de sécurité pour les répertoires racine d’un point d’accès
Lorsqu’un remplacement de répertoire racine est en vigueur, Amazon EFS se comporte comme un serveur NFS Linux avec l’option `no_subtree_check` activée.
Dans le protocole NFS, les serveurs génèrent des descripteurs de fichier qui sont utilisés par les clients comme références uniques lors de l’accès aux fichiers. EFS génère en toute sécurité des descripteurs de fichier imprévisibles et spécifiques à un système de fichiers EFS. Lorsqu'un remplacement du répertoire racine est en place, Amazon EFS ne divulgue pas les descripteurs de fichiers situés en dehors du répertoire racine spécifié. Cependant, dans certains cas, un utilisateur peut obtenir un descripteur de fichier pour un fichier en dehors de son point d'accès en utilisant un out-of-band mécanisme. Par exemple, cela est envisageable s’ils ont accès à un deuxième point d’accès. Dans ce cas, ils peuvent effectuer des opérations de lecture et d’écriture sur le fichier.
La propriété des fichiers et les autorisations d’accès sont toujours appliquées pour l’accès aux fichiers dans et hors du répertoire racine du point d’accès d’un utilisateur.
# Utilisation des points d’accès dans les stratégies IAM
Vous pouvez utiliser une stratégie IAM pour appliquer de manière forcée l’accès d’un client NFS spécifique, identifié par son rôle IAM, à un point d’accès particulier. Pour ce faire, utilisez la clé de condition IAM `elasticfilesystem:AccessPointArn`. `AccessPointArn` est l’ARN (Amazon Resource Name) du point d’accès avec lequel le système de fichiers est monté.
Voici un exemple de stratégie de système de fichiers qui permet au rôle IAM `app1` d’accéder au système de fichiers à l’aide du point d’accès `fsap-01234567`. Cette stratégie permet également à `app2` d’utiliser le système de fichiers via le point d’accès `fsap-89abcdef`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "MyFileSystemPolicy",
"Statement": [
{
"Sid": "App1Access",
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" },
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567"
}
}
},
{
"Sid": "App2Access",
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" },
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef"
}
}
}
]
}
```
------
# Blocage de l'accès public aux systèmes de fichiers EFS
La fonctionnalité de blocage de l'accès public d'Amazon EFS fournit des paramètres qui vous aident à gérer l'accès public aux systèmes de fichiers EFS. Par défaut, les nouveaux systèmes de fichiers EFS n'autorisent pas l'accès public. En revanche, vous pouvez modifier les stratégies du système de fichiers pour autoriser l’accès public.
**Important**
L'activation du blocage de l'accès public permet de protéger vos ressources en empêchant l'accès public d'être accordé par le biais des politiques de ressources directement associées au système de fichiers. Outre l’activation du blocage de l’accès public, examinez attentivement les politiques suivantes pour vous assurer qu’elles n’accordent pas d’accès public :
Politiques basées sur l'identité associées aux AWS principaux associés (par exemple, les rôles IAM)
Politiques basées sur les AWS ressources associées (par exemple, clés AWS Key Management Service (KMS))
**Topics**
+ [Blocage de l'accès public avec AWS Transfer Family](#block-efs-public-access-with-transferfamily)
+ [La signification du mot « public »](#what-is-a-public-policy)
## Blocage de l'accès public avec AWS Transfer Family
Lorsque vous utilisez Amazon EFS avec AWS Transfer Family, les demandes d'accès au système de fichiers reçues d'un serveur Transfer Family appartenant à un compte différent de celui du système de fichiers sont bloquées si le système de fichiers autorise l'accès public. Amazon EFS évalue les politiques IAM du système de fichiers, et si la politique est publique, il bloque la demande. Pour autoriser AWS Transfer Family l'accès à votre système de fichiers, mettez à jour la politique de votre système de fichiers afin qu'elle ne soit pas considérée comme publique.
**Note**
L'utilisation de Transfer Family avec Amazon EFS est désactivée par défaut pour Compte AWS les systèmes de fichiers EFS dotés de politiques autorisant l'accès public créées avant le 6 janvier 2021. Pour activer l'utilisation de Transfer Family afin d'accéder à votre système de fichiers, contactez AWS le Support.
## La signification du mot « public »
Pour évaluer si un système de fichiers autorise l’accès public, Amazon EFS part du principe que la stratégie du système de fichiers est publique. Puis, il évalue la stratégie du système de fichiers pour déterminer si elle est qualifiée comme non publique. Pour être considérée comme non publique, une stratégie de système de fichiers doit uniquement accorder l’accès aux valeurs fixes (valeurs ne contenant aucun caractère générique) d’un ou de plusieurs des éléments suivants :
+ Un AWS principal, un utilisateur, un rôle ou un principal de service (par exemple,`aws:PrincipalOrgID`)
+ `aws:SourceArn`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:SourceOwner`
+ `aws:SourceAccount`
+ `elasticfilesystem:AccessedViaMountTarget`
+ `aws:userid, outside the pattern "AROLEID:*"`
Conformément à ces règles, l’exemple de stratégie suivant est considéré comme public.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
"Statement": [
{
"Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientRootAccess"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*"
}
]
}
```
------
Vous pouvez rendre cette stratégie de système de fichiers non publique en utilisant la clé de condition EFS `elasticfilesystem:AccessedViaMountTarget` définie sur true. Vous pouvez utiliser `elasticfilesystem:AccessedViaMountTarget` pour autoriser les actions EFS spécifiées aux clients accédant au système de fichiers EFS à l’aide d’une cible de montage du système de fichiers. La stratégie non publique suivante utilise la clé de condition `elasticfilesystem:AccessedViaMountTarget` définie sur true.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
"Statement": [
{
"Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientRootAccess"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
"Condition": {
"Bool": {
"elasticfilesystem:AccessedViaMountTarget": "true"
}
}
}
]
}
```
------
Pour de plus amples informations sur l’utilisation des clés de condition Amazon EFS, consultez la section [Clés de condition EFS pour les clients NFS](iam-access-control-nfs-efs.md#efs-condition-keys-for-nfs). Pour plus d’informations sur la création de stratégies de système de fichiers, consultez [Création de politiques de système de fichiers](create-file-system-policy.md).
# Isolation du réseau pour Amazon EFS
En tant que service géré, Amazon Elastic File System est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon EFS via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
Ils peuvent être APIs appelés depuis n'importe quel emplacement réseau, mais Amazon EFS prend en charge les politiques d'accès basées sur les ressources, qui peuvent inclure des restrictions basées sur l'adresse IP source. Vous pouvez également utiliser les politiques Amazon EFS pour contrôler l'accès à partir de points de terminaison Amazon Virtual Private Cloud (Amazon VPC) spécifiques ou spécifiques. VPCs En fait, cela isole l'accès réseau à une ressource Amazon EFS donnée uniquement du VPC spécifique au sein AWS du réseau.