翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# EFS ファイルシステムへのパブリックアクセスのブロック
Amazon EFS のパブリックアクセスのブロック機能は、EFS ファイルシステムへのパブリックアクセスを管理するために役立つ設定を提供します。デフォルトでは、新しい EFS ファイルシステムではパブリックアクセスが許可されません。ただし、パブリックアクセスを許可するようにファイルシステムポリシーを変更することはできます。
**重要**
[パブリックアクセスをブロック] を有効にすると、ファイルシステムに直接アタッチされているリソースポリシーを通じてパブリックアクセスが付与されるのを防ぎ、リソースを保護することができます。[パブリックアクセスをブロック] を有効にすること以外にも、次のポリシーを慎重に検査して、パブリックアクセスを付与していないことを確認します。
関連付けられた AWS プリンシパルにアタッチされたアイデンティティベースのポリシー (IAM ロールなど)
関連付けられたリソースにアタッチされた AWS リソースベースのポリシー (例:AWS Key Management Service (KMS) キー)
**Topics**
+ [によるパブリックアクセスのブロック AWS Transfer Family](#block-efs-public-access-with-transferfamily)
+ [「パブリック」の意味](#what-is-a-public-policy)
## によるパブリックアクセスのブロック AWS Transfer Family
Amazon EFS を で使用すると AWS Transfer Family、ファイルシステムがパブリックアクセスを許可すると、ファイルシステムとは異なるアカウントが所有する Transfer Family サーバーから受信したファイルシステムアクセスリクエストがブロックされます。Amazon EFS はファイルシステムの IAM ポリシーを評価し、ポリシーがパブリックである場合は、リクエストをブロックします。ファイルシステム AWS Transfer Family へのアクセスを許可するには、ファイルシステムポリシーを更新して、パブリックと見なされないようにします。
**注記**
Amazon EFS での Transfer Family の使用は、2021 AWS アカウント年 1 月 6 日より前に作成されたパブリックアクセスを許可するポリシーを持つ EFS ファイルシステムを持つ では、デフォルトで無効になっています。Transfer Family を使用してファイルシステムにアクセスできるようにするには、 AWS サポートにお問い合わせください。
## 「パブリック」の意味
ファイルシステムがパブリックアクセスを許可するかどうかを評価する場合、Amazon EFS はファイルシステムポリシーがパブリックであると見なします。その後、ファイルシステムのポリシーを評価して、非パブリックとしての資格があるかどうかを判断します。非パブリックと見なすには、ファイルシステムポリシーは、次のうち 1 つ以上の固定値 (ワイルドカードを含まない値) にのみアクセスを許可する必要があります。
+ AWS プリンシパル、ユーザー、ロール、またはサービスプリンシパル (例: `aws:PrincipalOrgID`)
+ `aws:SourceArn`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:SourceOwner`
+ `aws:SourceAccount`
+ `elasticfilesystem:AccessedViaMountTarget`
+ `aws:userid, outside the pattern "AROLEID:*"`
これらのルールでは、次のポリシー例はパブリックと見なされます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
"Statement": [
{
"Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientRootAccess"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*"
}
]
}
```
------
このファイルシステムポリシーを非公開にするには、EFS の条件キー `elasticfilesystem:AccessedViaMountTarget` を [true] に設定します。`elasticfilesystem:AccessedViaMountTarget` を使用すると、ファイルシステムのマウントターゲットを使用して EFS ファイルシステムにアクセスするクライアントに対して、指定された EFS アクションを許可することができます。以下の非公開ポリシーでは、`elasticfilesystem:AccessedViaMountTarget` 条件のキーを [true] に設定して使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
"Statement": [
{
"Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientRootAccess"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
"Condition": {
"Bool": {
"elasticfilesystem:AccessedViaMountTarget": "true"
}
}
}
]
}
```
------
Amazon EFS における条件キーの詳細については、「[クライアントの EFS 条件キー](iam-access-control-nfs-efs.md#efs-condition-keys-for-nfs)」を参照してください。ファイルシステムポリシーの作成の詳細については、「[ファイルシステムポリシーの作成](create-file-system-policy.md)」を参照してください。