As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de políticas baseadas em recursos para o Amazon EFS
Nesta seção, você encontrará exemplos de políticas de sistema de arquivos que concedem ou negam permissões para diversas ações do Amazon EFS. As políticas do sistema de arquivos EFS têm um limite de 20.000 caracteres. Para obter informações sobre os elementos de uma política baseada em recurso, consulte Políticas baseadas em recursos no Amazon EFS.
Importante
Se você conceder permissão a uma função ou a um usuário individual do IAM em uma política de sistema de arquivos, não exclua nem recrie esse usuário ou essa função enquanto a política ainda estiver em vigor no sistema de arquivos. Se isso acontecer, esse usuário ou essa função será efetivamente bloqueado do sistema de arquivos e não poderá acessá-lo. Para obter mais informações, consulte Especificação de um principal no Guia do usuário do IAM.
Para obter informações sobre como criar uma política de sistema de arquivos, consulte Criar políticas de sistema de arquivos.
Tópicos
Exemplo: conceder acesso de leitura e gravação a uma AWS função específica
Este exemplo de política de sistema de arquivos do EFS tem as seguintes características:
-
O efeito é
Allow. -
A entidade principal é definida como Testing_Role no Conta da AWS.
-
A ação está definida como
ClientMount(leitura), eClientWrite. -
A condição para conceder permissões está definida como
AccessedViaMountTarget.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Testing_Role" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd", "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } } ] }
Exemplo: conceder acesso somente leitura
A política de sistema de arquivos a seguir concede somente permissõesClientMount, ou somente de leitura, para a EfsReadOnly função do IAM.
{ "Id": "read-only-example-policy02", "Statement": [ { "Sid": "efs-statement-example02", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly" }, "Action": [ "elasticfilesystem:ClientMount" ], "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678" } ] }
Para saber como definir políticas adicionais de sistema de arquivos, incluindo negar o acesso raiz a todos as entidades principais do IAM, exceto para uma estação de trabalho de gerenciamento específica, consulte Habilitar o extermínio de raiz usando a autorização do IAM para clientes NFS.
Exemplo: conceder acesso a um ponto de acesso do EFS
Use uma política de acesso do EFS para fornecer a um cliente NFS uma exibição específica do aplicativo em conjuntos de dados compartilhados baseados em arquivo em um sistema de arquivos do EFS. Conceda ao ponto de acesso permissões para o sistema de arquivos usando uma política de sistema de arquivos.
Este exemplo de política de arquivo usa um elemento de condição para conceder a um ponto de acesso específico identificado por seu ARN acesso total ao sistema de arquivos.
Para obter mais informações sobre os pontos de acesso do EFS, consulte Trabalhar com pontos de acesso.
{ "Id": "access-point-example03", "Statement": [ { "Sid": "access-point-statement-example03", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"}, "Action": "elasticfilesystem:Client*", "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678", "Condition": { "StringEquals": { "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } } } ] }
