For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
시스템 정책을 사용하여 Amazon EFS 파일 시스템에 대한 액세스를 제어하려면 어떻게 해야 합니까?
파일을 공유할 수 있도록 AWS 계정 전체에서 Amazon Elastic File System(Amazon EFS) 파일 시스템에 액세스하고 싶습니다. 네트워크 파일 시스템(NFS) 클라이언트 및 Amazon EFS 액세스 포인트에 AWS Identity and Access Management(AWS IAM) 인증을 사용하려고 합니다.
해결 방법
참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.
VPC 연결
VPC 피어링 연결을 사용하여 NFS 클라이언트와 EFS 파일 시스템의 가상 프라이빗 클라우드(VPC)를 연결합니다. 또는 Amazon Virtual Private Cloud(Amazon VPC) Transit Gateway를 사용합니다. 이 연결을 통해 동일하거나 다른 계정의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 다른 VPC의 EFS 파일 시스템에 액세스할 수 있습니다.
계정 간 EFS 파일 시스템에 액세스하고 탑재할 수 있는 권한 부여
크로스 계정 EFS 파일 시스템에 액세스하고 탑재할 수 있는 권한을 부여하려면 IAM 정책에 다음 스테이트먼트를 추가하십시오.
{ "Sid": "EfsPermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Resource": "arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id" }
참고: 앞의 예제 스테이트먼트는 IAM 역할이 EFS 파일 시스템에 대한 탑재, 쓰기 및 루트 액세스 권한을 갖도록 허용합니다. NFS 클라이언트가 EC2 인스턴스인 경우 인스턴스에 IAM 역할을 연결합니다.
또는 AWS CLI를 사용하여 IAM 역할을 수임할 수도 있습니다.
참고: AWS CLI는 다른 VPC에 있는 EFS 파일 시스템의 DNS를 확인할 수 없습니다. 따라서 클라이언트에 적합한 탑재 대상 IP 주소를 결정해야 합니다. 그런 다음 클라이언트를 구성합니다. EFS 파일 시스템을 탑재하려면 NFS 클라이언트와 동일한 가용 영역에 있는 탑재 대상 IP 주소를 사용합니다. 가용 영역 이름 매핑은 계정마다 다를 수 있습니다. 다른 계정에 EFS 파일 시스템을 탑재하는 경우 NFS 클라이언트와 탑재 대상은 동일한 가용 영역에 있어야 합니다.
인스턴스의 가용 영역 확인
다음 단계를 완료하십시오.
- Amazon EC2 콘솔을 엽니다.
- 인스턴스를 선택합니다.
- 인스턴스를 선택한 다음 네트워킹을 선택합니다.
- 네트워킹 세부 정보에서 가용 영역을 찾습니다.
또는 Amazon EC2에 대한 충분한 읽기 권한이 있는 IAM 엔터티에서 다음과 같은 describe-availability-zones AWS CLI 명령을 실행합니다.
aws ec2 describe-availability-zones --zone-name `curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone`
출력 예시:
{ "AvailabilityZones": [ { "State": "available", "ZoneName": "us-east-2b", "Messages": [], "ZoneId": "use2-az2", "RegionName": "us-east-2" } ] }
로컬 가용 영역의 탑재 대상 IP 주소 확인
다음 단계를 완료하십시오.
- Amazon EFS 콘솔을 엽니다.
- 파일 시스템을 선택합니다.
- 파일 시스템을 선택합니다.
- 네트워크에서 가용 영역의 IP 주소를 확인합니다.
또는 Amazon EC2에 대한 충분한 읽기 권한이 있는 IAM 엔터티에서 다음과 같은 describe-mount-targets 명령을 실행합니다:
aws efs describe-mount-targets --file-system-id fs-cee4feb7
참고: fs-cee4feb7을 파일 시스템 ID로 바꾸십시오.
명령의 출력에서 인스턴스의 가용 영역에 있는 탑재 대상에 해당하는 IP 주소를 확인합니다. 출력 예시:
aws efs describe-mount-targets --file-system-id fs-cee4feb7{ "MountTargets": [ { "MountTargetId": "fsmt-a9c3a1d0", "AvailabilityZoneId": "use2-az2", "NetworkInterfaceId": "eni-048c09a306023eeec", "AvailabilityZoneName": "us-east-2b", "FileSystemId": "fs-cee4feb7", "LifeCycleState": "available", "SubnetId": "subnet-06eb0da37ee82a64f", "OwnerId": "958322738406", "IpAddress": "10.0.2.153" }, ... { "MountTargetId": "fsmt-b7c3a1ce", "AvailabilityZoneId": "use2-az3", "NetworkInterfaceId": "eni-0edb579d21ed39261", "AvailabilityZoneName": "us-east-2c", "FileSystemId": "fs-cee4feb7", "LifeCycleState": "available", "SubnetId": "subnet-0ee85556822c441af", "OwnerId": "958322738406", "IpAddress": "10.0.3.107" } ] }
EFS 파일 시스템 탑재
다음 단계를 완료하십시오.
- 다음 명령을 실행하여 NFS 클라이언트의 /etc/hosts 파일에 hosts 항목을 추가합니다:
참고: 10.0.2.153을 탑재 대상 IP 주소로, fs-cee4feb7을 파일 시스템 ID로, us-east-2를 AWS 리전으로 바꾸십시오.echo "10.0.2.153 fs-cee4feb7.efs.us-east-2.amazonaws.com" | sudo tee -a /etc/hosts - 탑재 도우미를 사용하여 EFS 파일 시스템을 탑재합니다. 기본적으로 탑재 도우미는 DNS를 사용하여 탑재 대상의 IP 주소를 확인합니다. 다른 계정 또는 Amazon VPC에서 탑재하는 경우 Amazon EFS 탑재 대상 IP 주소를 수동으로 확인해야 합니다.
파일 시스템을 탑재할 때 문제가 발생하면 탑재 문제 해결을 참조하십시오.
