Replicar sistemas de arquivos EFS entre contas da AWS - Amazon Elastic File System
Criar um perfil do IAM com uma política de confiança personalizadaCriar políticas sobre os sistemas de arquivos de origem e destinoCriar a configuração de replicação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Replicar sistemas de arquivos EFS entre contas da AWS

É possível replicar sistemas de arquivos EFS entre Contas da AWS. A replicação entre contas aumenta a resiliência e a confiabilidade gerais de suas estratégias de recuperação de desastres (DR) e pode ajudar você a cumprir as exigências de conformidade corporativa.

Por exemplo, as políticas de conformidade podem exigir que você use contas diferentes para ambientes diversos (como produção, preparação e recuperação de desastres (DR). Ou você pode descobrir que a replicação entre diferentes Contas da AWS fornece um isolamento mais forte, um controle mais granular sobre permissões e políticas de acesso e uma auditoria mais direta dos recursos. Se a conta de produção for comprometida (por exemplo, por violações de segurança, configuração incorreta ou ameaças internas), ter os servidores de DR em uma conta separada pode impedir que o invasor os acesse, reduzir o raio de explosão de incidentes de segurança e minimizar o risco de alterações não autorizadas.

A replicação Contas da AWS requer configuração adicional de segurança e política. Em vez de usar perfis vinculadas a serviços para realizar a replicação entre contas, você deve criar um perfil do IAM que conceda ao Amazon EFS permissão para realizar a replicação na conta de destino. Você também precisa criar políticas nos sistemas de arquivos que deseja compartilhar entre contas. Depois que o perfil do IAM e as políticas do sistema de arquivos forem criadas, você cria a configuração de replicação.

Criar um perfil do IAM com uma política de confiança personalizada

Para que o Amazon EFS realize a replicação entre contas em nome da conta de origem, é necessário criar um perfil do IAM na conta de origem. O perfil do IAM deve ter a política de confiança elasticfilesystem.amazonaws.com que permita ao Amazon EFS assumir o perfil e agir como a entidade principal do serviço. O perfil deve conter todas as permissões do IAM necessárias para realizar a replicação (consulte Permissões obrigatórias do IAM) e conceder permissão explícita para realizar a replicação no sistema de arquivos na conta de destino.

Pré-requisitos

Você deve criar os sistemas de arquivos de origem e de destino na configuração de replicação para poder criar o perfil do IAM para a conta de origem. O Amazon EFS não pode criar o sistema de arquivos de destino para você durante a replicação. Além disso, é necessário saber e fornecer o nome do recurso da Amazon (ARN) para cada sistema de arquivos.

Como criar o perfil do IAM para replicação entre contas

Veja a seguir as etapas gerais para criar um perfil do IAM com políticas de confiança personalizadas para replicação entre contas com o Amazon EFS. Para step-by-step obter instruções sobre como criar uma função do IAM, consulte Criar uma função usando políticas de confiança personalizadas no Guia AWS Identity and Access Management do usuário.

  1. No AWS Identity and Access Management console da conta de origem, crie uma função do IAM que use a seguinte política de confiança. Consulte as instruções em Criar um perfil usando políticas de confiança personalizadas no Guia do usuário do AWS Identity and Access Management.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "elasticfilesystem.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Depois de criar o perfil, atribua a ele as permissões a seguir. Substitua arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1 pelo ARN do sistema de arquivos de destino e arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1 pelo ARN do sistema de arquivos de origem. Consulte as instruções de como atribuir permissões ao perfil em Criar políticas usando o editor de JSON.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action":[
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:ReplicationWrite"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1"
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:ReplicationRead",
                "elasticfilesystem:DescribeFileSystems"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1"
        }
    ]
}

  3. Copie ou anote o ARN do perfil do IAM. É necessário fornecer o ARN ao criar a configuração de replicação.

Criar políticas sobre os sistemas de arquivos de origem e destino

Para compartilhar sistemas de arquivos entre contas no Amazon EFS, você deve atribuir políticas aos sistemas de arquivos de destino e de origem. As políticas concedem ou restringem o acesso entre contas ao sistema de arquivos ao qual são aplicadas. Somente proprietários de contas com permissão para editar sistemas de arquivos podem atribuir políticas ao sistema de arquivos nas respectivas contas.

Além de conceder ou restringir o acesso entre contas, as políticas precisam conceder outras permissões necessárias para que os clientes trabalhem com os sistemas de arquivos, como elasticfilesystem:ClientMount. Caso contrário, o sistema de arquivos pode ficar inacessível aos clientes.

Importante

Não é possível restringir o acesso aos recursos pela conexão TLS. Se você incluir a condição "aws:SecureTransport": "false" em sua declaração, a conexão do cliente NFS falhará.

Política para o sistema de arquivos de destino

Para permitir que a conta de origem realize a replicação no sistema de arquivos de destino e exclua a configuração de replicação da conta de destino, a política a seguir deve ser criada no sistema de arquivos de destino. Substitua arn:aws:iam::444455556666:root pelo ID da conta proprietária do sistema de arquivos de origem. Substitua arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1 pelo ARN do sistema de arquivos de destino.

JSON
{ 
  "Version":"2012-10-17",		 	 	  
  "Statement": [ 
     { 
        "Sid": "AllowSourceAccountReplicationActions", 
        "Effect": "Allow",
        "Principal": { 
        "AWS": "arn:aws:iam::444455556666:root"
      }, 
    "Action": [ 
         "elasticfilesystem:DescribeFileSystems", 
         "elasticfilesystem:CreateReplicationConfiguration", 
         "elasticfilesystem:DescribeReplicationConfigurations",
         "elasticfilesystem:DeleteReplicationConfiguration", 
         "elasticfilesystem:ReplicationWrite" 
         ], 
     "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1"
     },
     {
        "Sid": "AllowReadOnlyClientAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
        },
        "Action": [
            "elasticfilesystem:ClientMount"
        ],
        "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1"            
     }
   ]
}

Política para o sistema de arquivos de origem

Para permitir que a conta de destino exclua a configuração de replicação da conta de origem, você deve atribuir a política a seguir ao sistema de arquivos de origem. Substitua arn:aws:iam::111122223333:root pelo ID da conta proprietária do sistema de arquivos de destino. Substitua arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1 pelo ARN do sistema de arquivos de origem.

JSON
{  
    "Version":"2012-10-17",		 	 	 
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "AllowDestinationAccountToDeleteReplication",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "elasticfilesystem:DeleteReplicationConfiguration",
            "Resource": "arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1"
        },
        {
            "Sid": "AllowClientAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1",
            "Condition": {
               "Bool": {
                   "elasticfilesystem:AccessedViaMountTarget": "true"
               }
           }            
        }
    ]
}
Como criar a política de sistema de arquivos

Realize as etapas a seguir para os sistemas de arquivos de destino e de origem usando as políticas da seção anterior.

  1. Faça login no Console de gerenciamento da AWS com a conta proprietária do sistema de arquivos e, em seguida, abra o console do Amazon EFS no console do Amazon EFS.

  2. Abra o sistema de arquivos:

    1. No painel de navegação à esquerda, selecione Sistemas de arquivos.

    2. Na lista Sistemas de arquivos, escolha o sistema de arquivos.

  3. Na guia Política do sistema de arquivos, escolha Editar.

  4. Cole a política em Editor de políticas {Json} e escolha Salvar.

Criar a configuração de replicação

Depois de criar o perfil do IAM e adicionar as políticas aos sistemas de arquivos de origem e de destino, siga as instruções em Configurar a replicação para um sistema de arquivos do EFS existente para criar a configuração de replicação.