翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM を使用してファイルシステムへのアクセスを制御する
<a name="iam-access-control-nfs-efs"></a>

IAM の アイデンティティ ポリシーとリソースポリシーの両方を使用して、クラウド環境向けのスケーラブルで最適化された方法により、Amazon EFS リソースへのクライアントアクセスを制御できます。IAM を使用すると、読み取り専用アクセス、書き込みアクセス、ルートアクセスなどの特定のアクションをファイルシステムに実行することをクライアントに許可できます。IAM アイデンティティポリシー*または*ファイルシステムリソースポリシーの*いずれか*で、アクションに 「許可」権限を付与すると、そのアクションへのアクセスが許可されます。ID ポリシー*と*リソースポリシーの*両方*で権限を付与する必要はありません。

 NFS クライアントは、EFS ファイルシステムに接続するときに、IAM ロールを使用してそれ自体を識別できます。クライアントがファイルシステムに接続すると、Amazon EFS はファイルシステムの IAM リソースポリシー (ファイルシステムポリシー) とアイデンティティベースの IAM ポリシーを評価し、付与する適切なファイルシステムアクセス許可を決定します。

NFS クライアントの IAM 認可を使用すると、クライアント接続と IAM 認可の決定が AWS CloudTrailに記録されます。CloudTrail を使用して Amazon EFS API コールを記録する方法の詳細については、「[を使用した Amazon EFS API コールのログ記録 AWS CloudTrail](logging-using-cloudtrail.md)」を参照してください。

**重要**  
IAM 認可を使用してクライアントによるアクセスをコントロールするには、EFS マウントヘルパーを使用して EFS ファイルシステムをマウントする必要があります。詳細については、「[IAM 認可を使用してマウントする](mounting-IAM-option.md)」を参照してください。

## デフォルトの EFS ファイルシステムポリシー
<a name="default-filesystempolicy"></a>

デフォルトの EFS ファイルシステムポリシーは、認証に IAM を使用せず、マウントターゲットを使用して、ファイルシステムに接続できる任意の匿名クライアントにフルアクセスを許可します。デフォルトポリシーは、ファイルシステムの作成時を含め、ユーザーが設定したファイルシステムポリシーが有効でない場合は常に有効になります。デフォルトのファイルシステムポリシーが有効な場合、`DescribeFileSystemPolicy` API オペレーションは `PolicyNotFound` レスポンスを返します。

## クライアントの EFS アクション
<a name="efs-filesystempolicy-actions"></a>

ファイルシステムポリシーを使用してファイルシステムにアクセスするクライアントに対して、以下のアクションを指定できます。


| アクション | 説明 | 
| --- | --- | 
| `elasticfilesystem:ClientMount` | ファイルシステムへの読み取り専用アクセス許可を付与します。 | 
| `elasticfilesystem:ClientWrite` | ファイルシステムへの書き込みアクセス許可を付与します。 | 
| `elasticfilesystem:ClientRootAccess` | ファイルシステムへのアクセス時にルートユーザーの使用を許可します。 | 

## クライアントの EFS 条件キー
<a name="efs-condition-keys-for-nfs"></a>

条件を表すには、あらかじめ定義された条件キーを使用します。Amazon EFS には、NFS クライアント用に次の事前定義された条件キーがあります。IAM コントロールを使用して EFS ファイルシステムへのアクセスを保護する場合、その他の条件キーは適用されません。


| EFS 条件キー | 説明 | オペレーター | 
| --- | --- | --- | 
| aws:SecureTransport | このキーを使用して、EFS ファイルシステムに接続するときに TLS の使用をクライアントに要求します。 | ブール値 | 
| aws:SourceIp | このキーを使用して、リクエスタの IP アドレスをポリシーで指定した IP アドレスと比較します。aws:SourceIp 条件キーは、パブリック IP アドレス範囲にのみ使用できます。 | String | 
| elasticfilesystem:AccessPointArn | クライアントが接続している EFS アクセスポイントの ARN。 | String | 
| elasticfilesystem:AccessedViaMountTarget | このキーを使用して、ファイルシステムマウントターゲットを使用していないクライアントによる EFS ファイルシステムへのアクセスを防止します。 | ブール値 | 

## ファイルシステムポリシーの例
<a name="file-system-policy-examples"></a>

Amazon EFS ファイルシステムポリシーの例を表示するには、「[Amazon EFS のリソースベースのポリシーの例](security_iam_resource-based-policy-examples.md)」を参照してください。