As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Exemplos de política baseada em recursos para o Amazon EFS
<a name="security_iam_resource-based-policy-examples"></a>

Nesta seção, você encontrará exemplos de políticas de sistema de arquivos que concedem ou negam permissões para diversas ações do Amazon EFS. As políticas do sistema de arquivos EFS têm um limite de 20.000 caracteres. Para obter informações sobre os elementos de uma política baseada em recurso, consulte [Políticas baseadas em recursos no Amazon EFS](security_iam_service-with-iam.md#security_iam_service-with-iam-resource-based-policies).

**Importante**  
Se você conceder permissão a uma função ou a um usuário individual do IAM em uma política de sistema de arquivos, não exclua nem recrie esse usuário ou essa função enquanto a política ainda estiver em vigor no sistema de arquivos. Se isso acontecer, esse usuário ou essa função será efetivamente bloqueado do sistema de arquivos e não poderá acessá-lo. Para obter mais informações, consulte [Especificação de um principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) no *Guia do usuário do IAM*. 

Para obter informações sobre como criar uma política de sistema de arquivos, consulte [Criar políticas de sistema de arquivos](create-file-system-policy.md).

**Topics**
+ [Exemplo: conceder acesso de leitura e gravação a uma AWS função específica](#file-sys-policy-readonly)
+ [Exemplo: conceder acesso somente leitura](#file-sys-policy-readonly)
+ [Exemplo: conceder acesso a um ponto de acesso do EFS](#file-sys-policy-accessprofile-efs)

## Exemplo: conceder acesso de leitura e gravação a uma AWS função específica
<a name="file-sys-policy-readonly"></a>

Este exemplo de política de sistema de arquivos do EFS tem as seguintes características:
+ O efeito é `Allow`.
+ A entidade principal é definida como Testing\$1Role no Conta da AWS.
+ A ação está definida como `ClientMount` (leitura), e `ClientWrite`.
+ A condição para conceder permissões está definida como `AccessedViaMountTarget`.

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/Testing_Role"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}
```

## Exemplo: conceder acesso somente leitura
<a name="file-sys-policy-readonly"></a>

A política de sistema de arquivos a seguir concede apenas permissões `ClientMount` ou somente leitura ao perfil do IAM `EfsReadOnly`.

```
{
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efs-statement-example02",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"            
        }
    ]
}
```

Para saber como definir políticas adicionais de sistema de arquivos, incluindo negar o acesso raiz a todos as entidades principais do IAM, exceto para uma estação de trabalho de gerenciamento específica, consulte [Habilitar o extermínio de raiz usando a autorização do IAM para clientes NFS](accessing-fs-nfs-permissions.md#enable-root-squashing).

## Exemplo: conceder acesso a um ponto de acesso do EFS
<a name="file-sys-policy-accessprofile-efs"></a>

Use uma política de acesso do EFS para fornecer a um cliente NFS uma exibição específica do aplicativo em conjuntos de dados compartilhados baseados em arquivo em um sistema de arquivos do EFS. Conceda ao ponto de acesso permissões para o sistema de arquivos usando uma política de sistema de arquivos. 

Este exemplo de política de arquivo usa um elemento de condição para conceder a um ponto de acesso específico identificado por seu ARN acesso total ao sistema de arquivos. 

Para obter mais informações sobre os pontos de acesso do EFS, consulte [Trabalhar com pontos de acesso](efs-access-points.md).

```
{
    "Id": "access-point-example03",
    "Statement": [
        {
            "Sid": "access-point-statement-example03",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"},
            "Action": "elasticfilesystem:Client*",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678",
            "Condition": { 
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } 
            }            
        }
    ]
}
```