Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso del client a un file system S3 Files
Questo argomento descrive come utilizzare le policy del file system, le policy di identità IAM e i controlli di rete per controllare quali client possono accedere al file system S3 Files e attraverso quali punti di accesso.
Punti di accesso ai file S3
I punti di accesso S3 Files sono punti di accesso specifici dell'applicazione a un file system che semplificano la gestione dell'accesso ai dati su larga scala. È possibile utilizzare i punti di accesso per applicare le identità e le autorizzazioni degli utenti per tutte le richieste di file system effettuate tramite il punto di accesso e limitare i client all'accesso solo ai dati all'interno di una directory principale specificata e delle relative sottodirectory.
I punti di accesso definiscono ciò che un client può fare sul file system. Non stabiliscono quali client possono utilizzarli. Qualsiasi ruolo dell'account con s3files:ClientMount autorizzazione può essere installato tramite qualsiasi punto di accesso sul file system, a meno che una politica del file system non lo limiti. Per controllare quali client possono utilizzare un determinato punto di accesso, combina tre livelli: controlli di rete (impedimento della connessione), una politica delle risorse del file system (negazione esplicita che sopravvive alle modifiche della politica di identità) e una politica di identità IAM (privilegio minimo sul ruolo).
S3 Files valuta e s3files:ClientRootAccess confronta la s3files:ClientMount politica s3files:ClientWrite del file system su ogni installazione. La chiave di s3files:AccessPointArn condizione viene inoltre valutata ad ogni installazione, quindi puoi scrivere un'unica dichiarazione di negazione che blocchi l'accesso tramite qualsiasi punto di accesso tranne quello specificato. Se un'azione richiesta viene negata o non concessa, il montaggio fallisce prima che si verifichino le operazioni sui file. Le due sezioni seguenti trattano i due requisiti più comuni: limitare un carico di lavoro a un punto di accesso specifico e negare del tutto l'accesso di un carico di lavoro al file system.
Limita l'accesso a un punto di accesso specifico
Questo modello si applica quando un ruolo (ad esempio, un ruolo di istanza EC2 o un ruolo di attività ECS) deve montare il file system tramite un solo punto di accesso. La chiave della condizione è. s3files:AccessPointArn La policy richiede sia un punto di accesso Allow per il punto di accesso previsto che uno esplicito Deny per ogni altro punto di accesso. Le concessioni di autorizzazione IAM si sommano a tutte le policy relative alle identità e alle risorse; senza una negazione esplicita, una policy separata può concedere l'accesso a un punto di accesso diverso.
Esempio di politica del file system:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowComputeAOnlyViaSpecificAP", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::ACCOUNT:role/compute-a-role" }, "Action": [ "s3files:ClientMount", "s3files:ClientWrite" ], "Condition": { "StringEquals": { "s3files:AccessPointArn": "arn:aws:s3files:REGION:ACCOUNT:file-system/fs-ID/access-point/fsap-ID" } } }, { "Sid": "DenyComputeAIfWrongAP", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::ACCOUNT:role/compute-a-role" }, "Action": "s3files:Client*", "Condition": { "StringNotEquals": { "s3files:AccessPointArn": "arn:aws:s3files:REGION:ACCOUNT:file-system/fs-ID/access-point/fsap-ID" } } } ] }
Il ruolo può essere montato e scritto solo quando la richiesta compute-a-role è fsap-ID indirizzata ed è esplicitamente negato su ogni altro punto di accesso su questo file system. Una negazione esplicita in una policy relativa alle risorse non può essere sostituita dalle policy di identità, quindi questa restrizione vale anche se in un secondo momento al ruolo viene associata una policy IAM più ampia.
Comando di montaggio:
sudo mount -t s3files -o accesspoint=fsap-ID fs-ID:/ /mnt/s3files
Negare l'accesso a un carico di lavoro tramite qualsiasi punto di accesso
Questo modello si applica quando un ruolo condivide un account con un file system S3 Files ma non deve montarlo tramite alcun punto di accesso o direttamente. Per bloccare l'utilizzo di tutti i punti di accesso, applica tre livelli, ordinati dalla garanzia di isolamento più forte a quella più debole.
1. Controlli di rete. Rimuovi la regola del gruppo di sicurezza che concede compute-b-role alle istanze l'accesso alla destinazione di montaggio sulla porta TCP 2049. I controlli di rete sono il livello più resiliente perché impediscono il tentativo di montaggio prima che avvenga lo scambio di credenziali. Anche se una policy configurata in modo errato concede i permessi di montaggio, la connessione NFS non può raggiungere l'obiettivo di montaggio.
2. Negazione esplicita nella politica del file system. Un'istruzione di negazione nella policy del file system rifiuta il montaggio anche se al ruolo vengono concesse in un secondo momento autorizzazioni IAM più ampie. Una policy relativa alle risorse del file system prevede una negazione che persiste anche se qualcuno iam:PutRolePolicy modifica le politiche di identità del ruolo. Solo i responsabili con s3files:PutFileSystemPolicy possono modificare questo livello.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyComputeBOnFileSystem", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::ACCOUNT:role/compute-b-role" }, "Action": "s3files:Client*", "Resource": "*" } ] }
3. Politica di identità IAM. Non concedere s3files:Client* autorizzazioni al ruolo. Questo è l'ultimo livello e il più facile da configurare erroneamente, poiché qualsiasi amministratore iam:PutRolePolicy può concedere le autorizzazioni di montaggio a un ruolo.
Senza una politica del file system, qualsiasi ruolo può essere installato tramite qualsiasi punto di accesso
Una politica delle risorse del file system prevede una negazione che non può essere rimossa da qualcuno che ha solo l'autorizzazione a modificare le politiche di identità. Senza una politica del file system, qualsiasi ruolo incluso s3files:ClientMount nella politica di identità può essere installato tramite qualsiasi punto di accesso sul file system. Si consiglia di allegare una politica del file system a ogni file system con una linea di base di negazione, quindi aggiungere le istruzioni di autorizzazione per carico di lavoro.
Le migliori pratiche per l'isolamento dei punti di accesso
La tabella seguente riassume gli approcci consigliati per gli obiettivi comuni di isolamento dei punti di accesso.
| Obiettivo | Approccio consigliato |
|---|---|
| Limita un carico di lavoro a un singolo punto di accesso | Consenti il ruolo sull'ARN del punto di accesso specifico, oltre a una negazione esplicita su ogni altro punto di accesso. Vedi «Limita l'accesso a un punto di accesso specifico». |
| Impedisci a un ruolo nello stesso account di montare il file system | Rimuovi l'accesso di rete alla porta 2049, nega la politica del file system e non concedetelo in IAM. |
| Carichi di lavoro multipli sullo stesso file system, ciascuno associato al proprio punto di accesso | Mantieni una coppia allow+deny per ruolo nella policy del file system, ciascuna con ambito ARN di un punto di accesso diverso. |
| Cross-account accesso tramite un punto di accesso | Utilizza la policy del file system per concedere il ruolo tra account diversi sull'ARN del punto di accesso specifico. Non fate affidamento solo sulle politiche di identità. |