写点什么

Amazon EFS 新增功能 – IAM 身份验证和接入点(二)

  • 2020-01-16
  • 本文字数:1291 字

    阅读完需:约 4 分钟

Amazon EFS 新增功能 – IAM 身份验证和接入点(二)

EFS 接入点的使用


借助 EFS 接入点,您可以轻松管理应用程序对 NFS 环境的访问,指定要在访问文件系统时使用的 POSIX 用户和组,以及限制对文件系统中某个目录的访问权限。


可能从 EFS 接入点功能受益的使用案例包括:


  • 基于容器的环境,其中开发人员构建和部署自己的容器(有关将 EFS 用于容器存储的相关信息也可参阅此博文)。

  • 需要生产数据只读访问权限的数据科学应用程序。

  • 与其他 AWS 账户共享您文件系统中的某个特定目录。


在 EFS 控制台中,我为我的文件系统创建了两个接入点,每个接入点都使用不同的 POSIX 用户和组。


  • /data – 我要分享一些必须通过多个客户端读取和更新的数据时使用此选项。

  • /config – 我要分享一些不能通过客户端使用 /data 接入点更新的配置文件时使用此选项。



这两个接入点都使用文件权限 755。这意味着我将向所有人赋予读取和执行权限,但仅向目录的拥有者赋予写入权限。 创建目录时将使用此处的权限。在目录内部,权限由用户完全控制。


我挂载了 /data 接入点,并将 accesspoint 选项添加到 mount 命令:


Bash


$ sudo mount -t efs -o tls,accesspoint=fsap-0204ce67a2208742e fs-d1188b58 /mnt/shared
复制代码


我现在可以创建文件,因为我没有以根身份创建文件,但我会自动使用该接入点的用户和组 ID:


Bash


$ sudo touch /mnt/shared/datafile$ ls -la /mnt/shared/datafile-rw-r--r-- 1 1001 1001 0 Jan  8 09:58 /mnt/shared/datafile
复制代码


我再次挂载文件系统,但没有指定接入点。我看到 datafile 已在 /data 目录中创建,根据接入点配置,这与预期相符。在使用该接入点时,我无法访问位于我的 EFS 文件系统的根目录或其他目录中的任何文件。


Bash


$ sudo mount -t efs -o tls /mnt/shared/$ ls -la /mnt/shared/data/datafile -rw-r--r-- 1 1001 1001 0 Jan  8 09:58 /mnt/shared/data/datafile
复制代码


为了将 IAM 身份验证用于接入点,我添加了 iam 选项:


Bash


$ sudo mount -t efs -o iam,tls,accesspoint=fsap-0204ce67a2208742e fs-d1188b58 /mnt/shared
复制代码


我可以通过将 AccessPointArnCondition 添加到策略,限制某个 IAM 角色只能使用某个特定的接入点:


Json


"Condition": {    "StringEquals": {        "elasticfilesystem:AccessPointArn" : "arn:aws:elasticfilesystem:us-east-2:123412341234:access-point/fsap-0204ce67a2208742e"    }}
复制代码


将 IAM 身份验证和 EFS 接入点结合使用,可以轻松安全地共享基于容器的架构和多租户应用程序的数据,因为它可确保每个应用程序都自动获取分配的正确操作系统用户和组,此外还可以限制对特定目录的访问权限、强制执行传输中加密或赋予对文件系统的只读访问权限。


现已开放


使用 NFS 客户端和 EFS 接入点的 IAM 身份验证现已在所有提供 EFS 的区域开放,详见 AWS 区域表。使用这些功能不会产生额外费用。如需了解更多有关EFS 与 IAM 的结合使用以及接入点的信息,请参阅文档。


现在可以更轻松地创建共享数据和配置的可扩展架构。快告诉我您打算将这些新功能用在哪些方面吧!


本文转载自 AWS 技术博客。


原文链接:https://amazonaws-china.com/cn/blogs/china/aws-backup-ec2-instances-efs-single-file-restore-and-cross-region-backup/


2020-01-16 10:35431

评论

发布
暂无评论
发现更多内容

第一财经《大发人工精准回血稳定计划》智库百科

凌晞

第一财经《大发人工计划回血是什么》智库百科

凌晞

第一财经《大发全网最稳回血技巧计划》智库百科

凌晞

第一财经《大发人工计划回血上岸导师》智库百科

凌晞

第一财经《大发人工精准回血计划》智库百科

凌晞

第一财经《大发全网最稳回血导师计划》智库百科

凌晞

第一财经《大发回血上岸大神带我稳賺》智库百科

尧二水丶

第一财经《大发只有5000老师怎么带你回血》智库百科

尧二水丶

第一财经《大发人工计划精准导师回血》智库百科

凌晞

第一财经《大发人工精准全天计划》智库百科

凌晞

第一财经《大发人工免费精准计划》智库百科

凌晞

第一财经《大发如何倍投法比较合理》智库百科

凌晞

第一财经《大发如何倍投稳赚回血盈利》智库百科

凌晞

第一财经《大发全网最稳回血技术计划》智库百科

凌晞

第一财经《大发实力买大小单双回血上岸技巧》智库百科

尧二水丶

第一财经《大发实力带你回血的人工计划老师QQ》智库百科

Geek_d3700f

第一财经《大发有没有真心老师带回血上岸》智库百科

尧二水丶

第一财经《大发金牌老师一对一指点带回血》智库百科

尧二水丶

第一财经《大发老师计划带你回血》智库百科

Geek_d3700f

第一财经《大发人工计划回血导师》智库百科

凌晞

第一财经《大发人工计划回血上岸老师》智库百科

凌晞

第一财经《大发回血老师一对一单带计划》智库百科

Geek_d3700f

第一财经《大发全新云系统邀请码大全》智库百科

凌晞

第一财经《大发人工精准回血计划老师q》智库百科

凌晞

第一财经《大发精准计划回血团队的QQ》智库百科

Geek_d3700f

第一财经《大发人工精准计划回血》智库百科

凌晞

第一财经《大发5000本金老师带回血三5万技巧》智库百科

尧二水丶

第一财经《大发靠谱的回血老师》智库百科

尧二水丶

第一财经《大发人工精准回血计划老师qq》智库百科

凌晞

第一财经《大发50块钱带你回血的老师是谁》智库百科

Geek_d3700f

第一财经《大发人工计划回血》智库百科

凌晞

Amazon EFS 新增功能 – IAM 身份验证和接入点(二)_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章