Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de IAM para controlar el acceso a los sistemas de archivos
Puede usar políticas de identidad de IAM y políticas de recursos para controlar el acceso de los clientes de NFS a los recursos de Amazon EFS de una manera escalable y optimizada para entornos de nube. Mediante IAM, puede permitir que los clientes realicen acciones específicas en un sistema de archivos, incluido el acceso de solo lectura, escritura y raíz. Un permiso de “permitir” para una acción, *ya sea* en una política de identidad de IAM *o* en una política de recursos del sistema de archivos, permite el acceso a esa acción. No es necesario conceder el permiso *tanto* en una política de identidad *como* en una política de recursos.
Los clientes de NFS pueden identificarse mediante un rol de IAM al conectarse a un sistema de archivos de EFS. Cuando un cliente se conecta a un sistema de archivos, Amazon EFS evalúa la política de recursos de IAM del sistema de archivos, conocida como política del sistema de archivos, junto con las políticas basadas en la identidad de IAM para determinar los permisos de acceso del sistema de archivos que se deben conceder.
Cuando utiliza la autorización de IAM para clientes de NFS, las conexiones de cliente y las decisiones de autorización de IAM se registran en AWS CloudTrail. Para obtener más información sobre cómo registrar las llamadas a la API de Amazon EFS CloudTrail, consulte[Registro de llamadas a la API de Amazon EFS con AWS CloudTrail](logging-using-cloudtrail.md).
**importante**
Debe utilizar el ayudante de montaje de EFS para montar sus sistemas de archivos de EFS con el fin de utilizar la autorización de IAM para controlar el acceso de los clientes. Para obtener más información, consulte [Montaje con autorización de IAM](mounting-IAM-option.md).
## Política predeterminada del sistema de archivos de EFS
La política predeterminada del sistema de archivos de EFS no utiliza IAM para autenticar y otorga acceso completo a cualquier cliente anónimo que pueda conectarse al sistema de archivos mediante un destino de montaje. La política predeterminada se aplica siempre que no se aplique una política de sistema de archivos configurada por el usuario, incluso al crear el sistema de archivos. Siempre que la política del sistema de archivos predeterminada esté en vigor, una operación de API `DescribeFileSystemPolicy` devuelve una respuesta `PolicyNotFound`.
## Acciones de EFS para clientes
Puede especificar las siguientes acciones para clientes que acceden a un sistema de archivos mediante una política de sistema de archivos.
| Action | Description (Descripción) |
| --- | --- |
| `elasticfilesystem:ClientMount` | Proporciona acceso de solo lectura a un sistema de archivos. |
| `elasticfilesystem:ClientWrite` | Proporciona permisos de escritura en un sistema de archivos. |
| `elasticfilesystem:ClientRootAccess` | Proporciona la capacidad de utilizar el usuario raíz al acceder a un sistema de archivos. |
## Claves de condición de EFS para clientes
Cómo expresar condiciones, se usan claves de condición predefinidas. Amazon EFS tiene las siguientes claves de condición predefinidas para los clientes de NFS. No se aplica ninguna otra clave de condición cuando se utilizan los controles de IAM para proteger el acceso a los sistemas de archivos EFS.
| Clave de condición de EFS | Description (Descripción) | Operador |
| --- | --- | --- |
| aws:SecureTransport | Utilice esta clave para exigir a los clientes que utilicen TLS al conectarse a un sistema de archivos de EFS. | Booleano |
| aws:SourceIp | Utilice esta clave para comparar la dirección IP del solicitante con la dirección IP que especifique en la política. La clave de condición aws:SourceIp solo puede utilizarse para rangos de direcciones IP públicas. | Cadena |
| elasticfilesystem:AccessPointArn | ARN del punto de acceso de EFS al que se está conectando el cliente. | Cadena |
| elasticfilesystem:AccessedViaMountTarget | Use esta clave para impedir el acceso a un sistema de archivos de EFS por parte de los clientes que no utilizan destinos de montaje del sistema de archivos. | Booleano |
## Ejemplos de política del sistema de archivos
Para ver ejemplos de políticas del sistema de archivos de Amazon EFS, consulte [Ejemplos de políticas basadas en recursos para Amazon EFS](security_iam_resource-based-policy-examples.md).