本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon EFS 的資源型政策範例
<a name="security_iam_resource-based-policy-examples"></a>

在本節中，您可以找到授予或拒絕各種 Amazon EFS 動作許可的範例檔案系統政策。EFS 檔案系統政策字元限制為 20,000 以内。如需資訊行政策元素的資訊，請參閱 [Amazon EFS 中的資源型政策](security_iam_service-with-iam.md#security_iam_service-with-iam-resource-based-policies)。

**重要**  
如您將許可授予給檔案系統政策中的個別 IAM 使用者或角色，則請勿在該政策於檔案系統有效期間內刪除或重新建立該使用者或角色。如果上述情況發生，該使用者或角色將遭檔案系統鎖定，且將無法存取。如需詳細資訊，請參閱《IAM 使用者指南》**中的[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)。

如需關於如何建立檔案系統政策的詳細資訊，請參閱 [建立檔案系統政策](create-file-system-policy.md)。

**Topics**
+ [範例：授予特定 AWS 角色的讀取和寫入存取權](#file-sys-policy-readonly)
+ [範例：授予只讀存取權](#file-sys-policy-readonly)
+ [範例：授予 EFS 存取點的存取權](#file-sys-policy-accessprofile-efs)

## 範例：授予特定 AWS 角色的讀取和寫入存取權
<a name="file-sys-policy-readonly"></a>

在此範例中，EFS 檔案系統政策具有下列特性：
+ 效果是 `Allow`。
+ 主體設定為在 AWS 帳戶中的 Testing\$1Role。
+ 動作設定為 `ClientMount` (可讀) 和 `ClientWrite`。
+ 授與許可的條件設定為 `AccessedViaMountTarget`。

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/Testing_Role"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}
```

## 範例：授予只讀存取權
<a name="file-sys-policy-readonly"></a>

下列檔案系統政策只會將 `ClientMount`或唯讀許可授予 IAM `EfsReadOnly` 角色。

```
{
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efs-statement-example02",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"            
        }
    ]
}
```

若要了解如何設定其他檔案系統政策，包括拒絕對所有 IAM 主體的根存取權 (特定管理工作站除外)，請參閱 [使用 NFS 用戶端的 IAM 授權啟用根清除](accessing-fs-nfs-permissions.md#enable-root-squashing)。

## 範例：授予 EFS 存取點的存取權
<a name="file-sys-policy-accessprofile-efs"></a>

您可以使用 EFS 存取政策，為 NFS 客戶端提供應用程式專屬的檢視，以查看 EFS 檔案系統中以共用檔案為基礎的資料集。您可以使用檔案系統政策授予檔案系統上的存取點權限。

此檔案政策範例使用條件元素來授予特定存取點，該存取點由其 ARN 對檔案系統的完整存取權限識別。

如需關於使用 EFS 存取點的詳細資訊，請參閱 [使用存取點](efs-access-points.md)。

```
{
    "Id": "access-point-example03",
    "Statement": [
        {
            "Sid": "access-point-statement-example03",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"},
            "Action": "elasticfilesystem:Client*",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678",
            "Condition": { 
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } 
            }            
        }
    ]
}
```