Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Lustre courge-racine
Root squash est une fonctionnalité administrative qui ajoute une couche supplémentaire de contrôle d'accès aux fichiers en plus du contrôle d'accès basé sur le réseau actuel et des autorisations de fichiers POSIX. À l'aide de la fonctionnalité root squash, vous pouvez restreindre l'accès au niveau root aux clients qui tentent d'accéder à votre système de fichiers FSx for Lustre en tant que root.
Les autorisations de l'utilisateur root sont requises pour effectuer des actions administratives, telles que la gestion des autorisations sur les systèmes de fichiers FSx for Lustre. Cependant, l'accès root fournit un accès illimité aux utilisateurs, leur permettant de contourner les contrôles d'autorisation pour accéder, modifier ou supprimer des objets du système de fichiers. À l'aide de la fonctionnalité root squash, vous pouvez empêcher l'accès non autorisé ou la suppression de données en spécifiant un ID utilisateur (UID) et un ID de groupe (GID) autres que root pour votre système de fichiers. Les utilisateurs root accédant au système de fichiers seront automatiquement convertis vers les utilisateurs moins privilégiés spécifiés user/group avec des autorisations limitées définies par l'administrateur du stockage.
La fonctionnalité Root Squash vous permet également, en option, de fournir une liste de clients qui ne sont pas concernés par le paramètre Root squash. Ces clients peuvent accéder au système de fichiers en tant que root, avec des privilèges illimités.
**Topics**
+ [Comment fonctionne le courge-racine](#root-squash-overview)
+ [Gérer les courges-racines](#manage-root-squash)
## Comment fonctionne le courge-racine
La fonctionnalité root squash fonctionne en remappant l'ID utilisateur (UID) et l'ID de groupe (GID) de l'utilisateur root à un UID et un GID spécifiés par l'administrateur système. Lustre La fonction root squash vous permet également de spécifier éventuellement un ensemble de clients auxquels le UID/GID remappage ne s'applique pas.
Lorsque vous créez un nouveau système de fichiers FSx for Lustre, root squash est désactivé par défaut. Vous activez Root Squash en configurant un paramètre UID et GID root squash pour votre système de fichiers FSx for Lustre. Les valeurs UID et GID sont des nombres entiers pouvant aller de à : `0` `4294967294`
+ Une valeur différente de zéro pour l'UID et le GID active Root squash. Les valeurs UID et GID peuvent être différentes, mais chacune doit être une valeur différente de zéro.
+ Une valeur de `0` (zéro) pour l'UID et le GID indique root et désactive donc Root squash.
Lors de la création du système de fichiers, vous pouvez utiliser la console Amazon FSx pour fournir les valeurs UID et GID de root squash dans la propriété **Root Squash**, comme indiqué dans. [Pour activer Root Squash lors de la création d'un système de fichiers (console)](#create-root-squash-console) Vous pouvez également utiliser le `RootSquash` paramètre avec l'API AWS CLI or pour fournir les valeurs UID et GID, comme indiqué dans. [Pour activer Root Squash lors de la création d'un système de fichiers (CLI)](#create-root-squash-cli)
Facultativement, vous pouvez également spécifier une liste de NID de clients auxquels root squash ne s'applique pas. Un NID client est un identifiant Lustre réseau utilisé pour identifier un client de manière unique. Vous pouvez spécifier le NID sous la forme d'une adresse unique ou d'une plage d'adresses :
+ Une adresse unique est décrite au format Lustre NID standard en spécifiant l'adresse IP du client suivie de l'ID Lustre réseau (par exemple,`10.0.1.6@tcp`).
+ Une plage d'adresses est décrite à l'aide d'un tiret pour séparer la plage (par exemple,`10.0.[2-10].[1-255]@tcp`).
+ Si vous ne spécifiez aucun NID client, il n'y aura aucune exception pour Root Squash.
Lorsque vous créez ou mettez à jour votre système de fichiers, vous pouvez utiliser la propriété **Exceptions to Root Squash** dans la console Amazon FSx pour fournir la liste des NID des clients. Dans l'API AWS CLI or, utilisez le `NoSquashNids` paramètre. Pour plus d'informations, consultez les procédures décrites dans[Gérer les courges-racines](#manage-root-squash).
## Gérer les courges-racines
Lors de la création du système de fichiers, le squash root est désactivé par défaut. Vous pouvez activer Root Squash lors de la création d'un nouveau système de fichiers Amazon FSx for Lustre à partir de la console AWS CLI Amazon FSx ou de l'API.
### Pour activer Root Squash lors de la création d'un système de fichiers (console)
1. Ouvrez la console Amazon FSx à l'adresse. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)
1. Suivez la procédure de création d'un nouveau système de fichiers décrite [Étape 1 : Création de votre système de fichiers FSx for Lustre](getting-started.md#getting-started-step1) dans la section *Démarrage*.
1. Ouvrez la section **Root Squash - *facultative***.
1. Pour **Root Squash**, indiquez les identifiants d'utilisateur et de groupe avec lesquels l'utilisateur root peut accéder au système de fichiers. Vous pouvez spécifier n'importe quel nombre entier compris entre `1` — `4294967294` :
1. Pour **ID utilisateur**, spécifiez l'ID utilisateur que l'utilisateur root doit utiliser.
1. Pour **ID de groupe**, spécifiez l'ID de groupe que l'utilisateur root doit utiliser.
1. (Facultatif) Pour les **exceptions à la courge racine**, procédez comme suit :
1. Choisissez **Ajouter une adresse client**.
1. Dans le champ **Adresses des clients**, spécifiez l'adresse IP d'un client auquel Root Squash ne s'applique pas. Pour plus d'informations sur le format de l'adresse IP, voir[Comment fonctionne le courge-racine](#root-squash-overview).
1. Répétez l'opération si nécessaire pour ajouter d'autres adresses IP de clients.
1. Complétez l'assistant comme vous le faites lorsque vous créez un nouveau système de fichiers.
1. Choisissez **Review and create**.
1. Passez en revue les paramètres que vous avez choisis pour votre système de fichiers Amazon FSx for Lustre, puis **choisissez Create file system**.
Lorsque le système de fichiers est **disponible**, Root Squash est activé.
### Pour activer Root Squash lors de la création d'un système de fichiers (CLI)
+ Pour créer un système de fichiers FSx for Lustre avec root squash activé, utilisez la [https://docs.aws.amazon.com/cli/latest/reference/fsx/create-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/create-file-system.html)commande Amazon FSx CLI avec le paramètre. `RootSquashConfiguration` L'opération d'API correspondante est [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html).
Pour le `RootSquashConfiguration` paramètre, définissez les options suivantes :
+ `RootSquash`— Les UID:GID valeurs séparées par des virgules qui spécifient l'ID utilisateur et l'ID de groupe que l'utilisateur root doit utiliser. Vous pouvez spécifier n'importe quel nombre entier compris entre `0` — `4294967294` (0 correspond à la racine) pour chaque ID (par exemple,`65534:65534`).
+ `NoSquashNids`— Spécifiez les identifiants Lustre réseau (NID) des clients auxquels root squash ne s'applique pas. Pour plus d'informations sur le format NID du client, consultez[Comment fonctionne le courge-racine](#root-squash-overview).
L'exemple suivant crée un système de fichiers FSx for Lustre avec root squash activé :
```
$ aws fsx create-file-system \
--client-request-token CRT1234 \
--file-system-type LUSTRE \
--file-system-type-version 2.15 \
--lustre-configuration "DeploymentType=PERSISTENT_2,PerUnitStorageThroughput=250,DataCompressionType=LZ4,\
RootSquashConfiguration={RootSquash="65534:65534",\
NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}" \
--storage-capacity 2400 \
--subnet-ids subnet-123456 \
--tags Key=Name,Value=Lustre-TEST-1 \
--region us-east-2
```
Une fois le système de fichiers créé avec succès, Amazon FSx renvoie la description du système de fichiers au format JSON, comme illustré dans l'exemple suivant.
```
{
"FileSystems": [
{
"OwnerId": "111122223333",
"CreationTime": 1549310341.483,
"FileSystemId": "fs-0123456789abcdef0",
"FileSystemType": "LUSTRE",
"FileSystemTypeVersion": "2.15",
"Lifecycle": "CREATING",
"StorageCapacity": 2400,
"VpcId": "vpc-123456",
"SubnetIds": [
"subnet-123456"
],
"NetworkInterfaceIds": [
"eni-039fcf55123456789"
],
"DNSName": "fs-0123456789abcdef0.fsx.us-east-2.amazonaws.com",
"ResourceARN": "arn:aws:fsx:us-east-2:123456:file-system/fs-0123456789abcdef0",
"Tags": [
{
"Key": "Name",
"Value": "Lustre-TEST-1"
}
],
"LustreConfiguration": {
"DeploymentType": "PERSISTENT_2",
"DataCompressionType": "LZ4",
"PerUnitStorageThroughput": 250,
"RootSquashConfiguration": {
"RootSquash": "65534:65534",
"NoSquashNids": "10.216.123.47@tcp 10.216.29.176@tcp"
}
}
]
}
```
Vous pouvez également mettre à jour les paramètres root squash de votre système de fichiers existant à l'aide de la console Amazon FSx ou de l' AWS CLI API. Par exemple, vous pouvez modifier les valeurs UID et GID de root squash, ajouter ou supprimer des NID clients ou désactiver root squash.
### Pour mettre à jour les paramètres de root squash sur un système de fichiers existant (console)
1. Ouvrez la console Amazon FSx à l'adresse. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)
1. Accédez à **Systèmes de fichiers**, puis choisissez le système de Lustre fichiers pour lequel vous souhaitez gérer Root Squash.
1. Pour **Actions**, choisissez **Mettre à jour la courge rouge**. Ou, dans le panneau **Résumé**, choisissez **Mettre à jour à** côté du champ **Root Squash** du système de fichiers pour afficher la boîte de dialogue **Mettre à jour les paramètres de Root Squash**.
1. Pour **Root Squash**, mettez à jour les identifiants d'utilisateur et de groupe avec lesquels l'utilisateur root peut accéder au système de fichiers. Vous pouvez spécifier n'importe quel nombre entier compris entre `0` —`4294967294`. Pour désactiver Root Squash, spécifiez `0` (zéro) pour les deux identifiants.
1. Pour **ID utilisateur**, spécifiez l'ID utilisateur que l'utilisateur root doit utiliser.
1. Pour **ID de groupe**, spécifiez l'ID de groupe que l'utilisateur root doit utiliser.
1. Pour les **exceptions relatives à la courge** rouge, procédez comme suit :
1. Choisissez **Ajouter une adresse client**.
1. Dans le champ **Adresses des clients**, spécifiez l'adresse IP d'un client auquel root squash ne s'applique pas,
1. Répétez l'opération si nécessaire pour ajouter d'autres adresses IP de clients.
1. Choisissez **Mettre à jour**.
**Note**
Si Root squash est activé et que vous souhaitez le désactiver, choisissez **Désactiver** au lieu de suivre les étapes 4 à 6.
Vous pouvez suivre la progression de la mise à jour sur la page détaillée des systèmes de fichiers dans l'onglet **Mises à jour**.
### Pour mettre à jour les paramètres de root squash sur un système de fichiers existant (CLI)
Pour mettre à jour les paramètres root squash d'un système de fichiers FSx for Lustre existant, utilisez AWS CLI la [commande](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) update-file-system. L'opération d'API correspondante est [UpdateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UdateFileSystem.html).
Définissez les paramètres suivants :
+ `--file-system-id`Défini sur l'ID du système de fichiers que vous mettez à jour.
+ Définissez les `--lustre-configuration RootSquashConfiguration` options comme suit :
+ `RootSquash`— Définissez les UID:GID valeurs séparées par des virgules qui spécifient l'ID utilisateur et l'ID de groupe que l'utilisateur root doit utiliser. Vous pouvez spécifier n'importe quel nombre entier compris entre `0` — `4294967294` (0 correspond à la racine) pour chaque ID. Pour désactiver Root squash, spécifiez `0:0` les UID:GID valeurs.
+ `NoSquashNids`— Spécifiez les identifiants Lustre réseau (NID) des clients auxquels root squash ne s'applique pas. `[]`À utiliser pour supprimer tous les NID du client, ce qui signifie qu'il n'y aura aucune exception pour Root Squash.
Cette commande indique que root squash est activé en utilisant `65534` comme valeur l'ID utilisateur et l'ID de groupe de l'utilisateur root.
```
$ aws fsx update-file-system \
--file-system-id fs-0123456789abcdef0 \
--lustre-configuration RootSquashConfiguration={RootSquash="65534:65534", \
NoSquashNids=["10.216.123.47@tcp", "10.216.12.176@tcp"]}
```
Si la commande aboutit, Amazon FSx for Lustre renvoie la réponse au format JSON.
Vous pouvez consulter les paramètres root squash de votre système de fichiers dans le panneau **Résumé** de la page de détails du système de fichiers sur la console Amazon FSx ou en réponse à une commande [https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-file-systems.html)CLI (l'action d'API équivalente est [https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeFileSystems.html)).