Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Bekerja dengan titik akses
<a name="efs-access-points"></a>

*Titik akses EFS adalah titik* masuk khusus aplikasi ke dalam sistem file EFS yang memudahkan pengelolaan akses aplikasi ke kumpulan data bersama. Titik akses dapat menerapkan identitas pengguna, termasuk grup POSIX pengguna, pada semua permintaan sistem file yang dibuat melalui titik akses. Titik akses juga dapat menerapkan direktori asal yang berbeda untuk sistem file sehingga klien hanya dapat mengakses data dalam direktori tertentu atau subdirektorinya.

Anda dapat menggunakan kebijakan AWS Identity and Access Management (IAM) untuk menegakkan bahwa aplikasi tertentu menggunakan titik akses tertentu. Dengan menggabungkan kebijakan IAM dengan titik akses, Anda dapat dengan mudah memberikan akses yang aman ke set data tertentu untuk aplikasi Anda. 

Anda dapat membuat titik akses untuk sistem file EFS yang ada menggunakan Konsol Manajemen AWS, the AWS Command Line Interface (AWS CLI), dan Amazon EFS API. Untuk step-by-step prosedur untuk membuat titik akses, lihat[Membuat titik akses](create-access-point.md).

## Titik akses bekerja dengan target pemasangan
<a name="accesspoints-and-mount-targets"></a>

Anda harus membuat setidaknya satu target pemasangan di VPC Anda sebelum menggunakan titik akses. Target pemasangan menyediakan konektivitas jaringan ke sistem file EFS Anda sementara titik akses menyediakan kontrol akses dan titik masuk khusus aplikasi. 

Titik akses mewarisi penempatan Availability Zone target mount.
+ Grup keamanan diterapkan pada tingkat target pemasangan, bukan tingkat titik akses.
+ Titik akses tersedia di semua Availability Zone di mana Anda memiliki target mount.
+ Kunci kondisi IAM `elasticfilesystem:AccessedViaMountTarget` memastikan akses sistem file hanya terjadi melalui target pemasangan, yang berlaku untuk pemasangan langsung dan dudukan titik akses.

Anda menggunakan EFS mount helper saat memasang sistem file menggunakan titik akses. Dalam perintah mount, sertakan ID sistem file, ID titik akses, dan opsi `tls` mount, seperti yang ditunjukkan pada contoh berikut.

```
$ mount -t efs -o tls,iam,accesspoint=fsap-abcdef0123456789a fs-abc0123def456789a: /localmountpoint
```

Untuk informasi lebih lanjut tentang pemasangan sistem file menggunakan titik akses, lihat[Pemasangan dengan titik akses EFS](mounting-access-points.md).

**Topics**
+ [

## Titik akses bekerja dengan target pemasangan
](#accesspoints-and-mount-targets)
+ [

# Menegakkan identitas pengguna menggunakan titik akses
](enforce-identity-access-points.md)
+ [

# Menegakkan direktori root dengan titik akses
](enforce-root-directory-access-point.md)
+ [

# Menggunakan titik akses dalam kebijakan IAM
](access-points-iam-policy.md)

# Menegakkan identitas pengguna menggunakan titik akses
<a name="enforce-identity-access-points"></a>

Anda dapat menggunakan titik akses untuk menegakkan informasi pengguna dan grup untuk semua permintaan sistem file yang dibuat melalui titik akses. Untuk mengaktifkan fitur ini, Anda perlu menentukan identitas sistem operasi yang akan diterapkan saat Anda membuat titik akses.

Sebagai bagian dari ini, Anda memberikan yang berikut:
+ User ID — ID pengguna POSIX numerik untuk pengguna.
+ ID Grup — ID grup POSIX numerik untuk pengguna.
+ Kelompok sekunder IDs — Daftar opsional kelompok sekunder IDs.

Saat penegakan pengguna diaktifkan, Amazon EFS menggantikan pengguna dan grup klien NFS IDs dengan identitas yang dikonfigurasi pada titik akses untuk semua operasi sistem file. Penegakan pengguna juga melakukan hal berikut:
+ Pemilik dan grup untuk file dan direktori baru diatur ke ID pengguna dan ID grup dari titik akses.
+ EFS mempertimbangkan ID pengguna, ID grup, dan grup sekunder IDs dari titik akses saat mengevaluasi izin sistem file. EFS mengabaikan klien NFS. IDs

**penting**  
Menegakkan identitas pengguna tunduk pada izin `ClientRootAccess` IAM.   
Misalnya, dalam beberapa kasus Anda mungkin mengonfigurasi ID pengguna titik akses, ID grup, atau keduanya menjadi root (yaitu, menyetel UID, GID, atau keduanya ke 0). Dalam kasus seperti itu, Anda harus memberikan izin `ClientRootAccess` IAM kepada klien NFS.

# Menegakkan direktori root dengan titik akses
<a name="enforce-root-directory-access-point"></a>

Anda dapat menggunakan titik akses untuk mengganti direktori root untuk sistem file. Saat Anda menerapkan direktori root, klien NFS yang menggunakan titik akses menggunakan direktori root yang dikonfigurasi pada titik akses alih-alih direktori root sistem file. 

Anda mengaktifkan fitur ini dengan mengatur `Path` atribut titik akses saat membuat titik akses. `Path`Atribut adalah jalur lengkap direktori root sistem file untuk semua permintaan sistem file yang dibuat melalui titik akses ini. Path lengkap tidak boleh melebihi 100 karakter panjangnya. Ini dapat mencakup hingga empat subdirektori.

Ketika Anda menentukan direktori root pada titik akses, itu menjadi direktori root dari sistem file untuk klien NFS yang memasang titik akses. Misalnya, misalkan direktori root dari titik akses Anda adalah`/data`. Dalam hal ini, pemasangan `fs-12345678:/` menggunakan titik akses memiliki efek yang sama seperti pemasangan `fs-12345678:/data` tanpa menggunakan titik akses. 

Saat menentukan direktori root di titik akses Anda, pastikan bahwa izin direktori dikonfigurasi untuk memungkinkan pengguna titik akses berhasil memasang sistem file. Secara khusus, pastikan bahwa bit eksekusi diatur untuk pengguna atau grup titik akses, atau untuk semua orang. Misalnya, nilai izin direktori 755 memungkinkan pemilik pengguna direktori untuk mencantumkan file, membuat file, dan memasang, dan semua pengguna lain untuk membuat daftar file dan memasang.

## Membuat direktori root untuk titik akses
<a name="create-root-directory-access-point"></a>

Jika jalur direktori root untuk titik akses tidak ada di sistem file, Amazon EFS secara otomatis membuat direktori root tersebut dengan kepemilikan dan izin yang ditentukan. Amazon EFS tidak akan membuat direktori root jika Anda tidak menentukan kepemilikan direktori dan izin saat pembuatan. Pendekatan ini memungkinkan untuk menyediakan akses sistem file untuk pengguna atau aplikasi tertentu tanpa memasang sistem file Anda dari host Linux. Untuk membuat direktori root, Anda harus mengonfigurasi kepemilikan dan izin direktori root dengan menggunakan atribut berikut saat membuat titik akses:
+ `OwnerUid`— ID pengguna POSIX numerik untuk digunakan sebagai pemilik direktori root.
+ `OwnerGiD`— ID grup POSIX numerik untuk digunakan sebagai grup pemilik direktori root.
+ Izin — Mode Unix direktori. Konfigurasi umum adalah 755. Pastikan bit eksekusi diatur untuk pengguna titik akses sehingga mereka dapat me-mount. Konfigurasi ini memberikan izin pemilik direktori untuk memasukkan, membuat daftar, dan menulis file baru di direktori. Ini memberikan semua pengguna lain izin untuk memasukkan dan daftar file. Untuk informasi lebih lanjut tentang bekerja dengan file Unix dan mode direktori, lihat[Network File System (NFS) tingkat pengguna, grup, dan izin](accessing-fs-nfs-permissions.md).

Amazon EFS membuat direktori root titik akses hanya jika OwnUid, ownGid, dan izin ditentukan untuk direktori. Jika Anda tidak memberikan informasi ini, Amazon EFS tidak membuat direktori root. Jika direktori root tidak ada, upaya untuk memasang menggunakan titik akses akan gagal.

Saat Anda memasang sistem file dengan titik akses, direktori root untuk titik akses dibuat jika direktori belum ada, asalkan direktori root OwnerUid dan Izin ditentukan saat titik akses dibuat. Jika direktori root titik akses sudah ada sebelum waktu pemasangan, izin yang ada tidak akan ditimpa oleh titik akses. Jika Anda menghapus direktori root, EFS membuatnya kembali saat berikutnya sistem file dipasang menggunakan titik akses.

**catatan**  
Jika Anda tidak menentukan kepemilikan dan izin untuk direktori root titik akses, Amazon EFS tidak akan membuat direktori root. Semua upaya untuk me-mount titik akses akan gagal.

## Model keamanan untuk direktori root titik akses
<a name="root-directory-security-access-point"></a>

Ketika penggantian direktori root berlaku, Amazon EFS berperilaku seperti server NFS Linux dengan opsi diaktifkan. `no_subtree_check` 

Dalam protokol NFS, server menghasilkan pegangan file yang digunakan oleh klien sebagai referensi unik saat mengakses file. EFS secara aman menghasilkan pegangan file yang tidak dapat diprediksi dan spesifik untuk sistem file EFS. Saat penggantian direktori root dilakukan, Amazon EFS tidak mengungkapkan penanganan file untuk file di luar direktori root yang ditentukan. Namun, dalam beberapa kasus pengguna mungkin mendapatkan pegangan file untuk file di luar jalur akses mereka dengan menggunakan out-of-band mekanisme. Misalnya, mereka mungkin melakukannya jika mereka memiliki akses ke titik akses kedua. Jika mereka melakukan ini, mereka dapat melakukan operasi baca dan tulis pada file. 

Kepemilikan file dan izin akses selalu diberlakukan, untuk akses ke file di dalam dan di luar direktori root titik akses pengguna. 

# Menggunakan titik akses dalam kebijakan IAM
<a name="access-points-iam-policy"></a>

Anda dapat menggunakan kebijakan IAM untuk menegakkan bahwa klien NFS tertentu, yang diidentifikasi oleh peran IAM-nya, hanya dapat mengakses titik akses tertentu. Untuk melakukan ini, Anda menggunakan kunci kondisi `elasticfilesystem:AccessPointArn` IAM. `AccessPointArn`Itu adalah Nama Sumber Daya Amazon (ARN) dari titik akses tempat sistem file dipasang.

Berikut ini adalah contoh kebijakan sistem file yang memungkinkan peran IAM `app1` untuk mengakses sistem file menggunakan titik `fsap-01234567` akses. Kebijakan ini juga memungkinkan `app2` untuk menggunakan sistem file menggunakan titik akses`fsap-89abcdef`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "MyFileSystemPolicy",
    "Statement": [
        {
            "Sid": "App1Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app1" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-01234567"
                }
            }
        },
        {
            "Sid": "App2Access",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:role/app2" },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-1:222233334444:access-point/fsap-89abcdef"
                }
            }
        }
    ]
}
```

------