Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Comment utiliser les politiques système pour contrôler l’accès à mon système de fichiers Amazon EFS ?
Je souhaite accéder à mon système de fichiers Amazon Elastic File System (Amazon EFS) via des comptes AWS afin de pouvoir partager des fichiers. Je souhaite utiliser l’autorisation Gestion des identités et des accès AWS (AWS IAM) pour les clients NFS (Network File System) et les points d’accès Amazon EFS.
Résolution
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.
Connecter des VPC
Connectez les clouds privés virtuels (VPC) de votre client NFS et de votre système de fichiers EFS à l'aide d'une connexion d'appairage de VPC. Vous pouvez également utiliser une passerelle de transit Amazon Virtual Private Cloud (Amazon VPC). Cette connexion permet aux instances Amazon Elastic Compute Cloud (Amazon EC2) provenant de comptes identiques ou différents d’accéder aux systèmes de fichiers EFS d’un VPC différent.
Accorder des autorisations pour accéder au système de fichiers EFS intercompte et le monter
Pour accorder des autorisations d'accès au système de fichiers EFS intercompte et de le monter, ajoutez l’instruction suivante à votre politique IAM :
{ "Sid": "EfsPermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id" }
Remarque : L’exemple d’instruction précédent permet au rôle IAM de disposer d’un accès de montage, d’écriture et d’accès racine sur le système de fichiers EFS. Si votre client NFS est une instance EC2, attachez le rôle IAM à l’instance.
Vous pouvez également utiliser l'interface de ligne de commande AWS pour assumer le rôle IAM.
Remarque : L'AWS CLI ne peut pas résoudre le DNS d'un système de fichiers EFS qui se trouve dans un autre VPC. Par conséquent, vous devez déterminer l’adresse IP cible de montage appropriée pour votre client. Puis, configurez le client. Pour monter le système de fichiers EFS, utilisez l’adresse IP cible de montage qui se trouve dans la même zone de disponibilité que votre client NFS. Les mappages de noms de zones de disponibilité peuvent différer d’un compte à l’autre. Lorsque vous montez un système de fichiers EFS sur un autre compte, le client NFS et la cible de montage doivent se trouver dans la même zone de disponibilité.
Déterminer la zone de disponibilité de votre instance
Procédez comme suit :
- Ouvrez la console Amazon EC2.
- Choisissez Instances.
- Sélectionnez votre instance, puis choisissez Mise en réseau.
- Sous Détails du réseau, recherchez la zone de disponibilité.
Vous pouvez également exécuter la commande d'interface de ligne de commande AWS describe-availability-zones suivante à partir d'une entité IAM disposant d'autorisations de lecture suffisantes pour Amazon EC2 :
aws ec2 describe-availability-zones --zone-name `curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone`
Exemple de sortie :
{ "AvailabilityZones": [ { "State": "available", "ZoneName": "us-east-2b", "Messages": [], "ZoneId": "use2-az2", "RegionName": "us-east-2" } ] }
Déterminer l’adresse IP cible de montage pour la zone de disponibilité locale
Procédez comme suit :
- Ouvrez la console Amazon EFS.
- Choisissez Systèmes de fichiers.
- Sélectionnez votre système de fichiers.
- Sous Réseau, notez l’adresse IP de votre zone de disponibilité.
Vous pouvez également exécuter la commande describe-mount-targets depuis une entité IAM qui dispose d’autorisations de lecture suffisantes pour Amazon EC2 :
aws efs describe-mount-targets --file-system-id fs-cee4feb7
Remarque : Remplacez fs-cee4feb7 par l'ID de votre système de fichiers.
Dans la sortie de la commande, notez l’adresse IP qui correspond à la cible de montage dans la zone de disponibilité de l’instance. Exemple de sortie :
aws efs describe-mount-targets --file-system-id fs-cee4feb7{ "MountTargets": [ { "MountTargetId": "fsmt-a9c3a1d0", "AvailabilityZoneId": "use2-az2", "NetworkInterfaceId": "eni-048c09a306023eeec", "AvailabilityZoneName": "us-east-2b", "FileSystemId": "fs-cee4feb7", "LifeCycleState": "available", "SubnetId": "subnet-06eb0da37ee82a64f", "OwnerId": "958322738406", "IpAddress": "10.0.2.153" }, ... { "MountTargetId": "fsmt-b7c3a1ce", "AvailabilityZoneId": "use2-az3", "NetworkInterfaceId": "eni-0edb579d21ed39261", "AvailabilityZoneName": "us-east-2c", "FileSystemId": "fs-cee4feb7", "LifeCycleState": "available", "SubnetId": "subnet-0ee85556822c441af", "OwnerId": "958322738406", "IpAddress": "10.0.3.107" } ] }
Monter le système de fichiers EFS
Procédez comme suit :
- Exécutez la commande suivante pour ajouter l’entrée hôtes au fichier /etc/hosts du client NFS :
Remarque : Remplacez 10.0.2.153 par votre adresse IP cible de montage, fs-cee4feb7 par l'ID de votre système de fichiers et us-east-2 par votre région AWS.echo "10.0.2.153 fs-cee4feb7.efs.us-east-2.amazonaws.com" | sudo tee -a /etc/hosts - Utilisez l’assistant de montage pour monter le système de fichiers EFS. Par défaut, l’assistant de montage utilise le DNS pour résoudre l’adresse IP de votre cible de montage. Si vous effectuez le montage depuis un autre compte ou Amazon VPC, vous devez résoudre manuellement l’adresse IP cible du montage Amazon EFS.
Si vous rencontrez des problèmes lors du montage du système de fichiers, consultez la section Résolution des problèmes de montage.
Informations connexes
- Sujets
- Storage
- Balises
- Amazon Elastic File System
- Langue
- Français
Contenus pertinents
- demandé il y a un an
- demandé il y a 2 ans
- demandé il y a un an
- demandé il y a 2 ans
- AWS OFFICIELA mis à jour il y a un an