カスタム信頼ポリシーを持つ IAM ロールを作成するにはソースファイルシステムと送信先ファイルシステムにポリシーを作成するレプリケーション設定の作成

AWS アカウント間で EFS ファイルシステムをレプリケートする

AWS アカウント全体で EFS ファイルシステムをレプリケートすることができます。アカウント間でレプリケートすると、ディザスタリカバリ (DR) 戦略の全体的な耐障害性と信頼性が向上し、企業のコンプライアンス義務を満たすのに役立ちます。

例えば、コンプライアンスポリシーでは、環境 (本番稼働、ステージング、ディザスタリカバリ (DR) など) ごとに異なるアカウントを使用する必要がある場合があります。または、異なる間でのレプリケーション AWS アカウントにより、より強力な分離、アクセス許可とアクセスポリシーのよりきめ細かな制御、リソースのより簡単な監査が可能になります。本番稼働用アカウントが侵害された場合 (セキュリティ違反、設定ミス、インサイダーの脅威など）、DR サーバーを別のアカウントに配置することで、攻撃者がそれらにアクセスするのを防ぎ、セキュリティインシデントの影響範囲を減らし、不正な変更のリスクを最小限に抑えることができます。

間でレプリケートするには、追加のセキュリティとポリシーの設定 AWS アカウントが必要です。サービスリンクロールを使用してクロスアカウントレプリケーションを実行する代わりに、送信先アカウントでレプリケーションを実行するアクセス許可を Amazon EFS に付与する IAM ロールを作成する必要があります。また、アカウント間で共有するファイルシステムにポリシーを作成する必要もあります。IAM ロールとファイルシステムポリシーを作成したら、レプリケーション設定を作成します。

カスタム信頼ポリシーを持つ IAM ロールを作成するには

Amazon EFS がソースアカウントに代わってクロスアカウントレプリケーションを実行するには、ソースアカウントに IAM ロールを作成する必要があります。ロールには、Amazon EFS がロールを引き受けサービスプリンシパルとして動作することを許可する elasticfilesystem.amazonaws.com 信頼ポリシーが必要です。ロールには、レプリケーションの実行に必要なすべての IAM アクセス許可 (「必要な IAM アクセス許可」を参照) が含まれ、送信先アカウントのファイルシステムにレプリケートするための明示的なアクセス許可を付与する必要があります。

前提条件

ソースアカウントの IAM ロールを作成する前に、レプリケーション設定でソースファイルシステムと送信先ファイルシステムの両方を作成する必要があります。Amazon EFS は、レプリケーション中に送信先ファイルシステムを作成することはできません。さらに、各ファイルシステムの Amazon リソースネーム (ARN) を取得して入力する必要があります。

クロスアカウントレプリケーション用の IAM ロールを作成するには

以下は、Amazon EFS を使用したクロスアカウントレプリケーション用のカスタム信頼ポリシーを含む IAM ロールを作成する一般的な手順です。IAM ロールを作成するステップバイステップ手順については、「AWS Identity and Access Management ユーザーガイド」の「カスタム信頼ポリシーを使用してロールを作成する」を参照してください。

ソースアカウントのコンソール AWS Identity and Access Management で、次の信頼ポリシーを使用する IAM ロールを作成します。手順については、「AWS Identity and Access Management ユーザーガイド」の「カスタム信頼ポリシーを使用してロールを作成する」を参照してください。
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticfilesystem.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

ロールを作成したら、以下のアクセス許可をロールに割り当てます。arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1 を送信先ファイルシステムの ARN に置き換え、arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1 をソースファイルシステムの ARN に置き換えます。ロールにアクセス許可を割り当てる手順については、「JSON エディタを使用したポリシーの作成」を参照してください。

IAM ロールの ARN をコピーするか書き留めます。レプリケーション設定を作成する際、ARN を指定する必要があります。

ソースファイルシステムと送信先ファイルシステムにポリシーを作成する

Amazon EFS でファイルシステムクロスアカウントを共有するには、送信先ファイルシステムとソースファイルシステムの両方にポリシーを割り当てる必要があります。ポリシーは、アカウント間で、それらが適用されるファイルシステムへのアクセスを許可または制限します。ファイルシステムを編集するアクセス許可を持つアカウント所有者のみが、アカウントのファイルシステムにポリシーを割り当てることができます。

アカウント間でアクセスを許可または制限するだけでなく、ポリシーはクライアントが elasticfilesystem:ClientMount などのファイルシステムと連携するために必要な他のアクセス許可を付与する必要があります。アクセス許可を付与しない場合、クライアントからファイルシステムにアクセスできなくなる可能性があります。

重要

TLS 接続経由のリソースへのアクセスを制限することはできません。ステートメントに "aws:SecureTransport": "false" 条件を含めると、NFS クライアント接続は失敗します。

送信先ファイルシステムのポリシー

ソースアカウントに送信先ファイルシステムへのレプリケート、および送信先アカウントからのレプリケーション設定の削除を許可するには、送信先ファイルシステムに次のポリシーを作成する必要があります。arn:aws:iam::444455556666:root を、ソースファイルシステムを所有するアカウントの ID に置き換えます。arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1 を送信先ファイルシステムの ARN に置き換えます。

ソースファイルシステムのポリシー

送信先アカウントにソースアカウントからのレプリケーション設定の削除を許可するには、ソースファイルシステムに次のポリシーを割り当てる必要があります。arn:aws:iam::111122223333:root を、送信先ファイルシステムを所有するアカウントの ID に置き換えます。arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1 をソースファイルシステムの ARN に置き換えます。

ファイルシステムポリシーを作成するには

前のセクションのポリシーを使用して、送信先ファイルシステムとソースファイルシステムの両方で次の手順を実行します。

ファイルシステムを所有するアカウント AWS マネジメントコンソールでにサインインし、Amazon EFS コンソールで Amazon EFS コンソールを開きます。
ファイルシステムを開きます。
1. 左のナビゲーションペインで [ファイルシステム] を選択します。
2. [ファイルシステム] の一覧で、ファイルシステムを選択します。
[ファイルシステムポリシー] タブで、[編集] を選択します。
[ポリシーエディタ {Json}] にポリシーを貼り付け、[保存] を選択します。

レプリケーション設定の作成

IAM ロールを作成し、ソースファイルシステムと送信先ファイルシステムにファイルシステムポリシーを追加したら、「既存の EFS ファイルシステムへのレプリケーションの設定」の手順に従ってレプリケーション設定を作成します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

既存のファイルシステムへのレプリケーションの設定

レプリケーションの詳細の表示