Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

EFS 文件系统策略与 IAM 实例配置文件冲突

0

【以下的问题经过翻译处理】 有一个 EFS 卷,其文件系统策略如下

{
    "Version": "2012-10-17",
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efsReadOnlyFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<account_id>:role/InstanceProfile"
            },
            "Action": "elasticfilesystem:ClientMount",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:<account_id>:file-system/fs-id"
        }
    ]
}

角色“InstaceProfile”是附加到 EC2 实例的角色。现在,此实例配置文件具有带有“elasticfilesystem:*”的 IAM 策略,该策略授予它对 EFS 的所有访问权限。

现在,即使文件系统策略将其设为只读,我仍然能够挂载 EFS 并将文件写入其中。文件系统策略不应该优先于实例配置文件权限吗?

Themen
SpeicherSicherheit, Identität & Konformität
Tags
Amazon Elastic DateisystemAWS Identity and Access Management
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten35 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 好问题!

在这种情况下,您的文件系统策略是资源策略,实例策略将被视为 IAM 身份策略。对于同一账户中的资源,这些资源被视为逻辑 。记住策略评估逻辑也很重要。

首先,评估显式拒绝,然后评估显式允许,然后评估隐式拒绝。

显式拒绝 --> 显式允许 --> 隐式拒绝

在这种情况下,您的 EFS 策略是允许读取,因此如果实例策略明确允许写入,则不会被拒绝。如果您希望进一步保护 EFS 卷,则需要对策略本身使用显式拒绝(您可以将此与允许结合使用)。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt