Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan IAM untuk mengontrol akses ke sistem file
Anda dapat menggunakan kebijakan identitas IAM dan kebijakan sumber daya untuk mengontrol akses klien ke sumber daya Amazon EFS dengan cara yang dapat diskalakan dan dioptimalkan untuk lingkungan cloud. Menggunakan IAM, Anda dapat mengizinkan klien untuk melakukan tindakan tertentu pada sistem file, termasuk akses read-only, write, dan root. Izin “izinkan” pada suatu tindakan *baik* dalam kebijakan identitas IAM *atau* kebijakan sumber daya sistem file memungkinkan akses untuk tindakan tersebut. Izin tidak perlu diberikan *baik dalam identitas *maupun** kebijakan sumber daya.
Klien NFS dapat mengidentifikasi diri mereka menggunakan peran IAM saat menghubungkan ke sistem file EFS. Saat klien terhubung ke sistem file, Amazon EFS mengevaluasi kebijakan sumber daya IAM sistem file, yang disebut kebijakan sistem file, bersama dengan kebijakan IAM berbasis identitas apa pun untuk menentukan izin akses sistem file yang sesuai untuk diberikan.
Saat Anda menggunakan otorisasi IAM untuk klien NFS, koneksi klien dan keputusan otorisasi IAM dicatat. AWS CloudTrail Untuk informasi selengkapnya tentang cara mencatat panggilan Amazon EFS API CloudTrail, lihat[Mencatat panggilan Amazon EFS API dengan AWS CloudTrail](logging-using-cloudtrail.md).
**penting**
Anda harus menggunakan EFS mount helper untuk memasang sistem file EFS Anda agar dapat menggunakan otorisasi IAM untuk mengontrol akses klien. Untuk informasi selengkapnya, lihat [Pemasangan dengan otorisasi IAM](mounting-IAM-option.md).
## Kebijakan sistem file EFS default
Kebijakan sistem file EFS default tidak menggunakan IAM untuk mengautentikasi, dan memberikan akses penuh ke klien anonim mana pun yang dapat terhubung ke sistem file menggunakan target pemasangan. Kebijakan default berlaku setiap kali kebijakan sistem file yang dikonfigurasi pengguna tidak berlaku, termasuk pada pembuatan sistem file. Setiap kali kebijakan sistem file default berlaku, operasi `DescribeFileSystemPolicy` API mengembalikan `PolicyNotFound` respons.
## Tindakan EFS untuk klien
Anda dapat menentukan tindakan berikut untuk klien yang mengakses sistem file menggunakan kebijakan sistem file.
| Tindakan | Deskripsi |
| --- | --- |
| `elasticfilesystem:ClientMount` | Menyediakan akses read-only ke sistem file. |
| `elasticfilesystem:ClientWrite` | Memberikan izin menulis pada sistem file. |
| `elasticfilesystem:ClientRootAccess` | Menyediakan penggunaan pengguna root saat mengakses sistem file. |
## Kunci kondisi EFS untuk klien
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Amazon EFS memiliki kunci kondisi standar berikut untuk klien NFS. Kunci kondisi lainnya tidak diberlakukan saat menggunakan kontrol IAM untuk mengamankan akses ke sistem file EFS.
| Kunci Kondisi EFS | Deskripsi | Operator |
| --- | --- | --- |
| aws:SecureTransport | Gunakan kunci ini untuk meminta klien menggunakan TLS saat menghubungkan ke sistem file EFS. | Boolean |
| aws:SourceIp | Gunakan kunci ini untuk membandingkan alamat IP pemohon dengan alamat IP yang Anda tentukan dalam kebijakan. Kunci kondisi aws:SourceIp hanya dapat digunakan untuk rentang alamat IP publik. | String |
| elasticfilesystem:AccessPointArn | ARN dari titik akses EFS yang terhubung dengan klien. | String |
| elasticfilesystem:AccessedViaMountTarget | Gunakan kunci ini untuk mencegah akses ke sistem file EFS oleh klien yang tidak menggunakan target pemasangan sistem file. | Boolean |
## Contoh kebijakan sistem file
Untuk melihat contoh kebijakan sistem file Amazon EFS, lihat[Contoh kebijakan berbasis sumber daya untuk Amazon EFS](security_iam_resource-based-policy-examples.md).