Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS)
<a name="accessing-fs-nfs-permissions"></a>

Après la création d’un système de fichiers, par défaut, seul l’utilisateur racine (UID 0) dispose d’autorisations de lecture-écriture-exécution. Pour que d’autres utilisateurs puissent modifier le système de fichiers, l’utilisateur racine doit leur accorder explicitement l’accès. Vous pouvez utiliser des points d’accès pour automatiser la création de répertoires accessibles en écriture à partir d’un utilisateur non racine. Pour de plus amples informations, veuillez consulter [Utilisation des points d’accès](efs-access-points.md).

Un mode de style Unix est associé aux objets du système de fichiers EFS. La valeur de ce mode définit les autorisations permettant d’effectuer des actions au niveau de cet objet. Les utilisateurs familiers avec les systèmes de style UNIX comprendront facilement comment Amazon EFS se comporte quant à ces autorisations.

En outre, sur les systèmes de type Unix, les utilisateurs et les groupes sont mappées à des identificateurs numériques, lesquels sont utilisés par Amazon EFS pour représenter la propriété de fichier. Pour Amazon EFS, les objets du système de fichiers (c’est-à-dire les fichiers, les répertoires, etc.) appartiennent à un seul propriétaire et à un seul groupe. Amazon EFS utilise le numérique mappé IDs pour vérifier les autorisations lorsqu'un utilisateur tente d'accéder à un objet du système de fichiers. 

**Note**  
Le protocole NFS prend en charge un maximum de 16 groupes IDs (GIDs) par utilisateur et tous les groupes supplémentaires GIDs sont tronqués à partir des demandes des clients NFS. Pour de plus amples informations, veuillez consulter [Accès refusé aux fichiers autorisés sur le système de fichiers NFS](troubleshooting-efs-general.md#nfs-16-group-limit).

Vous trouverez ci-dessous des exemples d’autorisations et une discussion sur les considérations relatives aux autorisations de NFS pour Amazon EFS. 

**Topics**
+ [Autorisations sur les fichiers et les répertoires](user-and-group-permissions.md)
+ [Exemples de cas d'utilisation et d'autorisations du système de fichiers EFS](#accessing-fs-nfs-permissions-ex-scenarios)
+ [Autorisations d'identification d'utilisateur et de groupe pour les fichiers et les répertoires d'un système de fichiers](#accessing-fs-nfs-permissions-uid-gid)
+ [Aucun écrasement racine](#accessing-fs-nfs-permissions-root-user)
+ [Mise en cache des autorisations](#accessing-fs-nfs-permissions-caching)
+ [Modification de la propriété d’un objet du système de fichiers](#accessing-fs-nfs-permissions-chown-restricted)
+ [Points d’accès EFS](#accessing-fs-nfs-permissions-access-points)

# Autorisations sur les fichiers et les répertoires
<a name="user-and-group-permissions"></a>

Les fichiers et les répertoires d'un système de fichiers EFS prennent en charge les autorisations de lecture, d'écriture et d'exécution standard de style UNIX basées sur l'identifiant d'utilisateur et de groupe affirmé par le client NFSv4 .1 de montage, sauf si un point d'accès EFS est remplacé par un point d'accès EFS.  Pour de plus amples informations, veuillez consulter [Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS)](accessing-fs-nfs-permissions.md).

**Note**  
Par défaut, cette couche de contrôle d'accès dépend de la confiance accordée au client NFSv4 .1 pour ce qui est de l'affirmation de l'identifiant de l'utilisateur et du groupe. Vous pouvez utiliser des politiques basées sur les ressources Gestion des identités et des accès AWS (IAM) et des politiques d'identité pour autoriser les clients NFS et fournir des autorisations d'accès en lecture seule, en écriture et en root. Vous pouvez utiliser des points d’accès EFS pour remplacer les informations d’identité d’utilisateur et de groupe du système d’exploitation fournies par le client NFS. Pour plus d’informations, consultez [Utilisation de l'IAM pour contrôler l'accès aux systèmes de fichiers](iam-access-control-nfs-efs.md) et [Création de points d’accès](create-access-point.md).

À titre d’exemple d’autorisations de lecture, d’écriture et d’exécution pour les fichiers et les répertoires, Alice peut avoir des autorisations lui permettant de lire et d’écrire dans tout fichier de son répertoire personnel sur un système de fichiers, `/alice`. Toutefois, dans cet exemple, Alice n’est pas autorisée à lire ni à écrire dans les fichiers du répertoire personnel de Mark sur le même système de fichiers, `/mark`. Alice et Mark sont tous deux autorisés à lire, mais pas à écrire, sur les fichier du répertoire partagé `/share`.

## Exemples de cas d'utilisation et d'autorisations du système de fichiers EFS
<a name="accessing-fs-nfs-permissions-ex-scenarios"></a>

Après avoir créé un système de fichiers EFS et monté des cibles pour le système de fichiers dans votre VPC, vous pouvez monter le système de fichiers distant localement sur votre instance Amazon EC2. La commande `mount` permet de monter un répertoire sur le système de fichiers. Toutefois, lorsque vous créez le système de fichiers pour la première fois, un seul répertoire racine se trouve à l’emplacement `/`. L’utilisateur racine et le groupe racine sont propriétaires du répertoire monté.

La commande `mount` suivante permet de monter le répertoire racine d’un système de fichiers Amazon EFS, identifié par le nom DNS de système de fichiers, dans le répertoire local `/efs-mount-point`.

```
sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point
```

Le mode d’autorisations initial autorise : 
+ des autorisations `read-write-execute` sur le propriétaire *racine*
+ des autorisations `read-execute` sur le groupe *racine* 
+ des autorisations `read-execute` sur les autres

Seul l’utilisateur racine peut modifier ce répertoire. L’utilisateur racine peut aussi accorder des autorisations à d’autres utilisateurs pour l’écriture dans ce répertoire, par exemple :
+ Créer des sous-répertoires par utilisateur accessibles en écriture. Pour step-by-step obtenir des instructions, voir[Tutoriel : Création de sous-répertoires accessibles en écriture par utilisateur](accessing-fs-nfs-permissions-per-user-subdirs.md).
+ Autorisez les utilisateurs à écrire à la racine du système de fichiers EFS. Un utilisateur avec des privilèges racine peut accorder à d’autres utilisateurs l’accès au système de fichiers. 
  + Pour attribuer la propriété du système de fichiers EFS à un utilisateur et à un groupe non *root*, procédez comme suit :

    ```
    $ sudo chown user:group /EFSroot
    ```
  + Pour remplacer les autorisations du système de fichiers par des autorisations moins restrictives, utilisez la commande suivante :

    ```
    $ sudo chmod 777 /EFSroot
    ```

    Cette commande accorde des read-write-execute privilèges à tous les utilisateurs sur toutes les instances EC2 sur lesquelles le système de fichiers est monté.

## Autorisations d'identification d'utilisateur et de groupe pour les fichiers et les répertoires d'un système de fichiers
<a name="accessing-fs-nfs-permissions-uid-gid"></a>

Les fichiers et les répertoires d'un système de fichiers EFS prennent en charge les autorisations de lecture, d'écriture et d'exécution standard de style UNIX en fonction de l'ID utilisateur et du groupe. IDs Lorsqu’un client NFS monte un système de fichiers EFS sans utiliser de point d’accès, l’ID utilisateur et l’ID de groupe fournis par le client sont approuvés. Vous pouvez utiliser les points d'accès EFS pour remplacer l'ID utilisateur et le groupe IDs utilisés par le client NFS. Lorsque des utilisateurs tentent d'accéder à des fichiers et à des répertoires, Amazon EFS contrôle leur utilisateur IDs et leur groupe IDs pour vérifier que chaque utilisateur est autorisé à accéder aux objets. Amazon EFS les utilise également IDs pour indiquer le propriétaire et le propriétaire du groupe pour les nouveaux fichiers et répertoires créés par l'utilisateur. Amazon EFS n’examine pas les noms des utilisateurs ou des groupes, il utilise uniquement les identifiants numériques.

**Note**  
Lorsque vous créez un utilisateur sur une instance EC2, vous pouvez lui affecter un ID utilisateur (UID) et un ID de groupe (GID) numériques. Les utilisateurs numériques IDs sont définis dans le `/etc/passwd` fichier sur les systèmes Linux. Le groupe numérique IDs se trouve dans le `/etc/group` fichier. Ces fichiers définissent les mappings entre les noms et les ID. En dehors de l'instance EC2, Amazon EFS n'effectue aucune authentification pour ces derniers IDs, y compris l'ID racine 0.

Si un utilisateur accède à un système de fichiers EFS à partir de deux instances EC2 différentes, selon que l'UID de l'utilisateur est identique ou différent sur ces instances, vous constatez un comportement différent, comme suit :
+ Si les ID d’utilisateur sont identiques sur les deux instances EC2, Amazon EFS estime qu’ils indiquent le même utilisateur, quelle que soit l’instance EC2 utilisée. L’expérience utilisateur lors de l’accès au système de fichiers est la même depuis les deux instances EC2.
+ Si les ID d’utilisateur ne sont pas les mêmes sur les deux instances EC2, Amazon EFS considère les utilisateurs comme étant des utilisateurs différents. L'expérience utilisateur n'est pas la même lorsqu'il accède au système de fichiers EFS à partir de deux instances EC2 différentes.
+ Si deux utilisateurs différents sur différentes instances EC2 partagent un ID, Amazon EFS estime qu’il s’agit du même utilisateur. 

Vous pouvez envisager de gérer les mappings d’ID utilisateur sur les instances EC2 de manière cohérente. Les utilisateurs peuvent vérifier leur ID numérique à l’aide de la commande `id` .

```
$ id 

uid=502(joe) gid=502(joe) groups=502(joe)
```

### Désactivation de l’outil de mappage d’ID
<a name="accessing-fs-nfs-permissions-id-mapper"></a>

Les utilitaires NFS du système d'exploitation incluent un démon appelé ID Mapper qui gère le mappage entre les noms d'utilisateur et. IDs Dans Amazon Linux, ce démon est appelé `rpc.idmapd` et sur Ubuntu il est appelé `idmapd`. Il convertit les ID utilisateur et ID de groupe en noms et inversement. Toutefois, Amazon EFS gère uniquement les ID numériques. Nous vous recommandons de désactiver ce processus sur vos instances EC2. Sur Amazon Linux, l’outil de mappage d’ID est généralement désactivé. Si tel est le cas, ne l’activez pas. Pour désactiver l’outil de mappage d’ID, utilisez la commande illustrée ci-dessous.

```
$  service rpcidmapd status
$  sudo service rpcidmapd stop
```

## Aucun écrasement racine
<a name="accessing-fs-nfs-permissions-root-user"></a>

Par défaut, l’écrasement root est désactivé sur les systèmes de fichiers EFS. Amazon EFS se comporte comme un serveur NFS Linux avec `no_root_squash`. Si un ID d’utilisateur ou de groupe est 0, Amazon EFS traite cet utilisateur en tant qu’utilisateur `root`, et il omet les vérifications d’autorisations (en autorisant l’accès à tous les objets de système de fichiers et leur modification). L'écrasement root peut être activé sur une connexion client lorsque la politique d'identité ou de ressource Gestion des identités et des accès AWS (AWS IAM) n'autorise pas l'accès à l'`ClientRootAccess`action. Lorsque l’écrasement racine est activé, l’utilisateur racine est converti en utilisateur disposant d’autorisations limitées sur le serveur NFS.

Pour de plus amples informations, veuillez consulter [Utilisation de l'IAM pour contrôler l'accès aux systèmes de fichiers](iam-access-control-nfs-efs.md).

### Activer l'écrasement des racines à l'aide de l'autorisation IAM pour les clients NFS
<a name="enable-root-squashing"></a>

Vous pouvez configurer Amazon EFS pour empêcher l'accès root à votre système de fichiers EFS pour tous les AWS principaux, à l'exception d'un seul poste de gestion. Pour ce faire, configurez l’autorisation Gestion des identités et des accès AWS (IAM) pour les clients NFS (Network File System).

Pour ce faire, vous devez configurer deux stratégies d’autorisation IAM comme suit :
+ Créez une stratégie de système de fichiers EFS qui autorise explicitement l’accès en lecture et en écriture au système de fichiers et qui refuse implicitement l’accès racine.
+ Attribuez une identité IAM à la station de travail de gestion Amazon EC2 qui nécessite un accès root au système de fichiers à l'aide d'un profil d'instance EC2. Pour plus d'informations sur les profils d'instance Amazon EC2, consultez la section [Utiliser des profils d'instance dans le guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) de l'*Gestion des identités et des accès AWS utilisateur*.
+ Attribuez la politique `AmazonElasticFileSystemClientFullAccess` AWS gérée au rôle IAM de la station de travail de gestion. Pour plus d'informations sur les politiques AWS gérées pour Amazon EFS, consultez[Gestion des identités et des accès pour Amazon EFS](security-iam.md).

Pour activer l’écrasement racine à l’aide de l’autorisation IAM pour les clients NFS, procédez comme suit :

**Pour empêcher l’accès de la racine au système de fichiers**

1. Ouvrez la console Amazon Elastic File System à l'adresse [https://console.aws.amazon.com/efs/](https://console.aws.amazon.com/efs/).

1. Choisissez **File Systems (Systèmes de fichiers)**.

1. Choisissez le système de fichiers sur lequel vous souhaitez activer l'écrasement root.

1. Sur la page de détails du système de **fichiers, choisissez Stratégie du système** de fichiers, puis **Modifier**. La page **File system policy (Stratégie du système de fichiers)** s’affiche.

1. **Choisissez **Empêcher l’accès root par défaut\$1 dans les options** de politique.** L’objet JSON de politique apparaît dans l’**éditeur de stratégie**.

1. Choisissez **Save (Enregistrer)** pour enregistrer la stratégie de système de fichiers.

Les clients non anonymes peuvent obtenir un accès racine au système de fichiers via une stratégie basée sur l’identité. Lorsque vous associez la stratégie gérée `AmazonElasticFileSystemClientFullAccess` au rôle de la station de travail, IAM accorde l’accès racine à la station de travail en fonction de sa stratégie d’identité.

**Pour activer l’accès racine à partir de la station de travail de gestion**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Créez un rôle pour Amazon EC2 appelé `EFS-client-root-access`. IAM crée un profil d’instance portant le même nom que le rôle EC2 que vous avez créé.

1. Assignez la politique AWS gérée `AmazonElasticFileSystemClientFullAccess` au rôle EC2 que vous avez créé. Le contenu de cette stratégie est présenté ci-dessous.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "elasticfilesystem:ClientMount",
                   "elasticfilesystem:ClientRootAccess",
                   "elasticfilesystem:ClientWrite",
                   "elasticfilesystem:DescribeMountTargets"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Attachez le profil d’instance à l’instance EC2 que vous utilisez comme station de travail de gestion, comme décrit ci-dessous. Pour plus d’informations, veuillez consulter les informations relatives à l’[attachement d’un rôle IAM à une instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) dans le *Guide de l’utilisateur Amazon EC2 pour les instances Linux*.

   1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

   1. Dans le panneau de navigation, choisissez **Instances**.

   1. Choisissez l’instance. Pour **Actions**, choisissez **Instance Settings (Paramètres d’instance)**, puis **Attach/Replace IAM role (Attacher/Remplacer le rôle IAM)**.

   1. Sélectionnez le rôle IAM que vous avez créé lors de la première étape, `EFS-client-root-access`, puis choisissez **Apply (Appliquer)**.

1. Installez l’assistant de montage EFS sur la station de travail de gestion. Pour plus d'informations sur l'assistant de montage EFS et le amazon-efs-utils package, consultez. [Installation du client Amazon EFS](using-amazon-efs-utils.md)

1. Montez le système de fichiers EFS sur la station de travail de gestion à l’aide de la commande suivante avec l’option `iam` mount.

   ```
   $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point
   ```

   Vous pouvez configurer l’instance Amazon EC2 pour qu’elle monte automatiquement le système de fichiers avec autorisation IAM. Pour en savoir plus sur le montage d’un système de fichiers EFS avec autorisation IAM, consultez [Montage avec autorisation IAM](mounting-IAM-option.md).

## Mise en cache des autorisations
<a name="accessing-fs-nfs-permissions-caching"></a>

Amazon EFS met en cache les autorisations de fichiers pendant une courte période. Par conséquent, un utilisateur dont l’accès a été récemment révoqué peut encore accéder à cet objet pendant une brève période.

## Modification de la propriété d’un objet du système de fichiers
<a name="accessing-fs-nfs-permissions-chown-restricted"></a>

Amazon EFS applique l’attribut `chown_restricted` POSIX. Cela signifie que seul l’utilisateur racine peut modifier le propriétaire d’un objet du système de fichiers. L’utilisateur racine ou propriétaire peut modifier le groupe propriétaire d’un objet du système de fichiers. Cependant, à moins que l’utilisateur soit de type racine, le groupe ne peut être remplacé que par un groupe dont l’utilisateur propriétaire est un membre. 

## Points d’accès EFS
<a name="accessing-fs-nfs-permissions-access-points"></a>

Un *point d’accès* applique un utilisateur, un groupe et un chemin d’accès du système de fichiers pour système d’exploitation à toute demande de système de fichiers effectuée à l’aide du point d’accès. L’utilisateur et le groupe du système d’exploitation du point d’accès remplacent toutes les informations d’identité fournies par le client NFS. Le chemin d’accès du système de fichiers est exposé au client en tant que répertoire racine du point d’accès. Cette approche garantit que chaque application utilise toujours l’identité correcte du système d’exploitation et le bon répertoire lors de l’accès à des ensembles de données basés sur des fichiers partagés. Les applications utilisant le point d’accès peuvent uniquement accéder aux données dans leur propre répertoire et en dessous. Pour plus d’informations sur les points d’accès, consultez [Utilisation des points d’accès](efs-access-points.md).