Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur les ressources pour Amazon EFS
Dans cette section, vous trouverez des exemples de stratégie de système de fichiers qui accordent ou refusent des autorisations pour diverses actions Amazon EFS. Les politiques du système de fichiers EFS sont limitées à 20 000 caractères. Pour plus d’informations sur les éléments d’une stratégie basée sur les ressources, veuillez consulter Politiques basées sur les ressources au sein d’Amazon EFS.
Important
Si vous accordez l’autorisation à un utilisateur IAM individuel ou à un rôle IAM dans une stratégie de système de fichiers, ne supprimez pas ou ne recréez pas cet utilisateur ou ce rôle tant que la stratégie est en vigueur sur le système de fichiers. Dans ce cas, l’utilisateur ou le rôle ne pourrait plus accéder au système de fichiers. Pour de plus amples informations, veuillez consulter Spécification d’un principal dans le Guide de l’utilisateur IAM.
Pour plus d’informations sur la création d’une stratégie de système de fichiers, consultez Création de politiques de système de fichiers.
Rubriques
Exemple : accorder un accès en lecture et en écriture à un AWS rôle spécifique
Cet exemple de stratégie de système de fichiers EFS présente les caractéristiques suivantes :
-
L’effet est
Allow. -
Le principal est défini sur le Testing_Role dans le Compte AWS.
-
L’action est définie sur
ClientMount(lecture) etClientWrite. -
La condition d’octroi des autorisations est définie sur
AccessedViaMountTarget.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
Exemple : Accorder l’accès en lecture seule
La politique de système de fichiers suivante accorde uniquement des autorisationsClientMount, ou des autorisations en lecture seule, au rôle EfsReadOnly IAM.
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
Pour apprendre à définir des stratégies de système de fichiers supplémentaires, notamment en refusant l’accès racine à tous les principaux IAM à l’exception d’une station de travail de gestion spécifique, veuillez consulter Activer l'écrasement des racines à l'aide de l'autorisation IAM pour les clients NFS.
Exemple : accorder l'accès à un point d'accès EFS
Une stratégie d’accès EFS permet de fournir à un client NFS une vue spécifique à une application des ensembles de données basés sur des fichiers partagés sur un système de fichiers EFS. Vous accordez les autorisations de point d’accès sur le système de fichiers à l’aide d’une stratégie de système de fichiers.
Cet exemple de stratégie de fichier utilise un élément de condition pour accorder à un point d’accès spécifique identifié par son ARN l’accès complet au système de fichiers.
Pour plus d’informations sur l’utilisation des points d’accès EFS, consultez Utilisation des points d’accès.
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }
