Amazon EFS에 대한 리소스 기반 정책 예제 - Amazon Elastic File System
예: 특정 AWS 역할에 대한 읽기 및 쓰기 액세스 권한 부여예: 읽기 전용 액세스 권한 부여예: EFS 액세스 포인트에 대한 액세스 권한 부여

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EFS에 대한 리소스 기반 정책 예제

이 단원에서는 다양한 Amazon EFS 작업에 대한 권한을 부여하거나 거부하는 파일 시스템 정책의 예를 제공합니다. EFS 파일 시스템 정책은 20,000자로 제한됩니다. 리소스 기반 정책의 요소에 대한 자세한 내용은 Amazon EFS 내의 리소스 기반 정책 섹션을 참조하세요.

중요

파일 시스템 정책에서 개별 IAM 사용자 또는 역할에 권한을 부여하는 경우, 정책이 파일 시스템에 적용되는 동안에는 해당 사용자 또는 역할을 삭제하거나 다시 생성하지 마세요. 그러한 경우, 해당 사용자 또는 역할이 파일 시스템에서 실제적으로 잠겨서 액세스할 수 없게 됩니다. 자세한 내용은 IAM 사용 설명서보안 주체 지정을 참조하세요.

파일 시스템 정책을 생성하는 방법에 대한 자세한 내용은 파일 시스템 정책 생성 섹션을 참조하세요.

예: 특정 AWS 역할에 대한 읽기 및 쓰기 액세스 권한 부여

이 예제에서, EFS 파일 시스템 정책에는 다음과 같은 특징이 있습니다.

  • 효과는 Allow입니다.

  • 보안 주체는 AWS 계정에서 Testing_Role로 설정됩니다.

  • 작업은 ClientMount(읽기) 및 ClientWrite로 설정됩니다.

  • 권한 부여 조건은 AccessedViaMountTarget로 설정되어 있습니다.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/Testing_Role"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}

예: 읽기 전용 액세스 권한 부여

다음 파일 시스템 정책은 EfsReadOnly IAM 역할에만 ClientMount또는 읽기 전용 권한을 부여합니다.

{
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efs-statement-example02",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"            
        }
    ]
}

특정 관리 워크스테이션을 제외한 모든 보안 주체에 대한 루트 액세스 거부를 포함하여 추가 파일 시스템 정책을 설정하는 방법은 NFS 클라이언트에 대한 IAM 권한 부여를 사용하여 루트 스쿼싱 활성화 섹션을 참조하세요.

예: EFS 액세스 포인트에 대한 액세스 권한 부여

EFS 액세스 정책을 사용하여 EFS 파일 시스템의 공유 파일 기반 데이터 세트에 대한 애플리케이션별 보기를 NFS 클라이언트에 제공할 수 있습니다. 파일 시스템 정책을 사용하여 파일 시스템에 대한 액세스 포인트 권한을 부여합니다.

이 파일 정책 예제에서는 조건 요소를 사용하여 해당 ARN으로 식별되는 특정 액세스 포인트에 파일 시스템에 대한 모든 액세스 권한을 부여합니다.

EFS 액세스 포인트에 대한 자세한 내용은 액세스 포인트 작업 섹션을 참조하세요.

{
    "Id": "access-point-example03",
    "Statement": [
        {
            "Sid": "access-point-statement-example03",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"},
            "Action": "elasticfilesystem:Client*",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678",
            "Condition": { 
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } 
            }            
        }
    ]
}