本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨 AWS 帳戶複寫 EFS 檔案系統
您可以跨 複寫 EFS 檔案系統 AWS 帳戶。跨帳戶複寫可增強災難復原 (DR) 策略的整體彈性和可靠性,並可協助您滿足企業合規要求。
例如,合規政策可能會要求您將不同的帳戶用於不同的環境 (例如生產、預備和災難復原 (DR))。或者,您可能會發現跨不同 的複寫 AWS 帳戶 提供更強大的隔離、更精細地控制許可和存取政策,以及更直接地稽核資源。如果生產帳戶遭到入侵 (例如安全漏洞、組態錯誤或內部威脅),讓 DR 伺服器位於不同的帳戶中,可防止攻擊者存取它們、降低安全事件的爆量半徑,並將未經授權的變更風險降至最低。
跨 複寫 AWS 帳戶 需要額外的安全性和政策設定。您必須建立 IAM 角色,授予 Amazon EFS 在目的地帳戶中執行複寫的許可,而不是使用服務連結角色來執行跨帳戶複寫。您也需要在要跨帳戶共用的檔案系統上建立政策。建立 IAM 角色和檔案系統政策之後,您可以建立複寫組態。
使用自訂信任政策建立 IAM 角色
若要讓 Amazon EFS 代表來源帳戶執行跨帳戶複寫,必須在來源帳戶上建立 IAM 角色。該角色必須具有elasticfilesystem.amazonaws.com信任政策,以允許 Amazon EFS 擔任該角色並擔任服務主體。角色必須包含執行複寫所需的所有 IAM 許可 (請參閱所需的 IAM 許可),並授予明確許可以複寫至目的地帳戶中的檔案系統。
先決條件
您必須先在複寫組態中建立來源檔案系統和目的地檔案系統,才能為來源帳戶建立 IAM 角色。Amazon EFS 無法在複寫期間為您建立目的地檔案系統。此外,您必須知道並提供每個檔案系統的 Amazon Resource Name (ARN)。
建立跨帳戶複寫的 IAM 角色
以下是使用自訂信任政策建立 IAM 角色的一般步驟,以使用 Amazon EFS 進行跨帳戶複寫。如需建立 IAM 角色的step-by-step說明,請參閱AWS Identity and Access Management 《 使用者指南》中的使用自訂信任政策建立角色。
在來源帳戶的 AWS Identity and Access Management 主控台中,建立使用下列信任政策的 IAM 角色。如需說明,請參閱《 AWS Identity and Access Management 使用者指南》中的使用自訂信任政策建立角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "elasticfilesystem.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }-
建立角色之後,請為角色指派下列許可。
DESTINATION_FILE_SYSTEM_ARN將 取代為目的地檔案系統的 ARN,並將 取代SOURCE_FILE_SYSTEM_ARN為來源檔案系統的 ARN。如需將許可指派給角色的指示,請參閱使用 JSON 編輯器建立政策。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action":[ "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DeleteReplicationConfiguration", "elasticfilesystem:ReplicationWrite" ], "Resource": "DESTINATION_FILE_SYSTEM_ARN" }, { "Effect": "Allow", "Action": [ "elasticfilesystem:ReplicationRead", "elasticfilesystem:DescribeFileSystems" ], "Resource": "SOURCE_FILE_SYSTEM_ARN" } ] } 複製或寫下 IAM 角色的 ARN。建立複寫組態時,您需要提供 ARN。
在來源和目的地檔案系統上建立政策
若要在 Amazon EFS 中跨帳戶共用檔案系統,您必須將政策指派給目的地和來源檔案系統。這些政策會將跨帳戶的存取權授予或限制到套用這些帳戶的檔案系統。只有具有編輯檔案系統許可的帳戶擁有者,才能將政策指派給其帳戶中的檔案系統。
重要
除了授予或限制跨帳戶的存取之外,政策還需要授予用戶端使用檔案系統所需的其他許可,例如 elasticfilesystem:ClientMount。否則,用戶端可能無法存取檔案系統。如需政策範例,請參閱 Amazon EFS 的資源型政策範例。
目的地檔案系統的政策
若要允許來源帳戶許可複寫至目的地檔案系統,並從目的地帳戶刪除複寫組態,必須在目的地檔案系統上建立下列政策。SOURCE_ACCOUNT_ROOT 將 取代為擁有來源檔案系統的 帳戶 ID。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Permissions for source account calls", "Effect": "Allow", "Principal": { "AWS": "SOURCE_ACCOUNT_ROOT" }, "Action": [ "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DeleteReplicationConfiguration", "elasticfilesystem:ReplicationWrite" ], "Resource": "DESTINATION_FILE_SYSTEM_ARN" } ] }
來源檔案系統的政策
若要允許目的地帳戶從來源帳戶刪除複寫組態的許可,您必須將下列政策指派給來源檔案系統。DESTINATION_ACCOUNT_ROOT 將 取代為擁有目的地檔案系統的帳戶 ID。
{ "Version": "2012-10-17", "Id": "efs-policy", "Statement": [ { "Sid": "Permission to delete the replication by the destination account", "Effect": "Allow", "Principal": { "AWS": "DESTINATION_ACCOUNT_ROOT" }, "Action": "elasticfilesystem:DeleteReplicationConfiguration", "Resource": "SOURCE_FILE_SYSTEM_ARN" } ] }
建立檔案系統政策
使用上一節中的政策,同時針對目的地和來源檔案系統執行下列步驟。
-
AWS Management Console 使用擁有檔案系統的帳戶登入 ,然後在 Amazon EFS 主控台開啟 Amazon EFS 主控台
。 -
開啟檔案系統:
-
在左側導覽窗格中選擇檔案系統。
-
在檔案系統清單中,選擇檔案系統。
-
-
在檔案系統政策索引標籤上,選擇編輯。
-
在政策編輯器 {Json} 中貼上政策,然後選擇儲存。
建立複寫組態
在您建立 IAM 角色並將檔案系統政策新增至來源和目的地檔案系統之後,請遵循 中的指示設定複寫至現有的 EFS 檔案系統來建立複寫組態。
