本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立檔案系統政策
您可以使用 Amazon EFS 主控台或使用 AWS CLI來建立檔案系統政策。您也可以直接使用 AWS SDKs或 Amazon EFS API,以程式設計方式建立檔案系統政策。EFS 檔案系統政策字元限制為 20,000 以内。如需使用 EFS 檔案系統原則和範例的詳細資訊,請參閱 [使用 IAM 控制檔案系統的存取](iam-access-control-nfs-efs.md)。
**注意**
Amazon EFS 檔案系統政策變更可能需要幾分鐘的時間才會生效。
## 使用主控台
1. 前往 [https://console.aws.amazon.com/efs/](https://console.aws.amazon.com/efs/) 開啟 Amazon Elastic File System 主控台。
1. 選擇 **File Systems (檔案系統)**。
1. 在 **File systems** (檔案系統) 頁面上,選擇您要編輯或針對其建立檔案系統政策的檔案系統。
1. 選擇**檔案系統政策**,然後選擇**編輯**。
1. 在**政策選項**中,您可以選擇任何預先設定的檔案系統原則組合:
+ **預設情況下防止根存取**:此選項會 `ClientRootAccess` 從一組允許的 EFS 動作中移除。
+ **預設情況下強制執行唯讀存取**:此選項會 `ClientWriteAccess` 從一組允許的 EFS 動作中移除。
+ **防止匿名存取**:此選項會 `ClientMount` 從允許的 EFS 動作集中移除。
+ **對所有用戶端強制執行傳輸中加密**:此選項會拒絕存取未加密的用戶端。
當您選擇預先設定的原則時,原則 JSON 物件會顯示在**原則編輯器**窗格中。
1. 使用**授予其他許可**,將檔案系統許可授予其他 IAM 主體,包括另一個主體 AWS 帳戶。選擇**新增**,然後輸入要授與權限之實體的主體 ARN。選擇您要授予的**許可**。其他許可會顯示在**政策編輯器**中。
1. 您可以使用**原則編輯器**來自訂預先設定的原則,或建立您自己的檔案系統原則。當您使用編輯器時,預先設定的原則選項將無法使用。若要清除目前的檔案系統原則並開始建立新原則,請選擇**清除**。
當您清除編輯器時,預先設定的策略會再次變為可用。
1. 完成編輯策略後,請選擇**儲存**。
## 使用 AWS CLI
在下列範例中,CLI [https://docs.aws.amazon.com/cli/latest/reference/efs/put-file-system-policy.html](https://docs.aws.amazon.com/cli/latest/reference/efs/put-file-system-policy.html) 命令會建立檔案系統政策,允許指定的 AWS 帳戶 唯讀存取 EFS 檔案系統。等效 API 命令為 [PutFileSystemPolicy](API_PutFileSystemPolicy.md)。
```
aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{
"Id": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:ClientMount"
],
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
}
}
]
}'
```