EFS 接入点的使用
借助 EFS 接入点，您可以轻松管理应用程序对 NFS 环境的访问，指定要在访问文件系统时使用的 POSIX 用户和组，以及限制对文件系统中某个目录的访问权限。

可能从 EFS 接入点功能受益的使用案例包括：

基于容器的环境，其中开发人员构建和部署自己的容器（有关将 EFS 用于容器存储的相关信息也可参阅此博文）。
需要生产数据只读访问权限的数据科学应用程序。
与其他 AWS 账户共享您文件系统中的某个特定目录。

在 EFS 控制台中，我为我的文件系统创建了两个接入点，每个接入点都使用不同的 POSIX 用户和组。

/data – 我要分享一些必须通过多个客户端读取和更新的数据时使用此选项。
/config – 我要分享一些不能通过客户端使用 /data 接入点更新的配置文件时使用此选项。

这两个接入点都使用文件权限 755。这意味着我将向所有人赋予读取和执行权限，但仅向目录的拥有者赋予写入权限。创建目录时将使用此处的权限。在目录内部，权限由用户完全控制。

我挂载了 /data 接入点，并将 accesspoint 选项添加到 mount 命令：

Bash

$ sudo mount -t efs -o tls,accesspoint=fsap-0204ce67a2208742e fs-d1188b58 /mnt/shared

我现在可以创建文件，因为我没有以根身份创建文件，但我会自动使用该接入点的用户和组 ID：

Bash

$ sudo touch /mnt/shared/datafile
$ ls -la /mnt/shared/datafile
-rw-r--r-- 1 1001 1001 0 Jan  8 09:58 /mnt/shared/datafile

我再次挂载文件系统，但没有指定接入点。我看到 datafile 已在 /data 目录中创建，根据接入点配置，这与预期相符。在使用该接入点时，我无法访问位于我的 EFS 文件系统的根目录或其他目录中的任何文件。

Bash

$ sudo mount -t efs -o tls /mnt/shared/
$ ls -la /mnt/shared/data/datafile 
-rw-r--r-- 1 1001 1001 0 Jan  8 09:58 /mnt/shared/data/datafile

为了将 IAM 身份验证用于接入点，我添加了 iam 选项：

Bash

$ sudo mount -t efs -o iam,tls,accesspoint=fsap-0204ce67a2208742e fs-d1188b58 /mnt/shared

我可以通过将 AccessPointArn 的 Condition 添加到策略，限制某个 IAM 角色只能使用某个特定的接入点：

Json

"Condition": {
    "StringEquals": {
        "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-2:123412341234:access-point/fsap-0204ce67a2208742e"
    }
}

将 IAM 身份验证和 EFS 接入点结合使用，可以轻松安全地共享基于容器的架构和多租户应用程序的数据，因为它可确保每个应用程序都自动获取分配的正确操作系统用户和组，此外还可以限制对特定目录的访问权限、强制执行传输中加密或赋予对文件系统的只读访问权限。

现已开放
使用 NFS 客户端和 EFS 接入点的 IAM 身份验证现已在所有提供 EFS 的区域开放，详见 AWS 区域表。使用这些功能不会产生额外费用。如需了解更多有关EFS 与 IAM 的结合使用以及接入点的信息，请参阅文档。

现在可以更轻松地创建共享数据和配置的可扩展架构。快告诉我您打算将这些新功能用在哪些方面吧！

本文转载自AWS技术博客。

原文链接：https://amazonaws-china.com/cn/blogs/china/aws-backup-ec2-instances-efs-single-file-restore-and-cross-region-backup/

创作场景

Amazon EFS 新增功能 – IAM 身份验证和接入点（二）