

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立檔案系統政策
<a name="s3-files-file-system-policies-creating"></a>

您可以使用檔案系統政策，授予或拒絕 NFS 用戶端在檔案系統上執行掛載、寫入和根存取等操作的許可。檔案系統具有空白 （預設） 檔案系統政策，或正好有一個明確的政策。您可以在建立檔案系統後，使用 AWS 管理主控台、 AWS CLI 或 AWS SDK 隨時更新檔案系統政策。

您可以使用 Amazon S3 主控台、CLI、以程式設計方式搭配 AWS SDKs AWS 或 S3 檔案 API 來更新檔案系統政策。這些政策變更可能需要幾分鐘的時間才會生效。S3 檔案系統政策有 20，000 個字元的限制。如需使用 S3 檔案系統政策、支援的動作、支援的條件金鑰和範例的詳細資訊，請參閱 [S3 檔案如何與 IAM 搭配使用](s3-files-security-iam.md)。

## 使用 S3 主控台
<a name="s3-files-file-system-policies-creating-console"></a>

本節說明如何使用 Amazon S3 主控台為 S3 檔案建立檔案系統政策。

1. 登入 AWS 管理主控台，並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)：// 開啟 Amazon S3 主控台。

1. 在頁面頂端的導覽列中，確認您位於檔案系統所在的 AWS 區域。

1. 在左側導覽窗格中選擇**檔案系統**。

1. 選擇所需的檔案系統。

1. 選取**許可**索引標籤，然後選取**編輯**。

1. 您可以使用政策編輯器來新增自己的檔案系統政策。

1. 完成編輯策略後，請選擇**儲存**。

## 使用 AWS CLI
<a name="s3-files-file-system-policies-creating-cli"></a>

下列`put-file-system-policy`範例命令顯示如何使用 AWS CLI 為 S3 檔案建立檔案系統政策。下列檔案系統政策僅授予 IAM 角色 `ClientMount`（唯讀） `ReadOnly` 許可。將範例 AWS 帳戶 ID {{111122223333}} 取代為 AWS 您的帳戶 ID。

```
aws s3files put-file-system-policy --file-system-id {{file-system-id}} --policy '{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:role/ReadOnly"
            },
            "Action": [
                "s3files:ClientMount"
            ]
        }
    ]
}'
```