翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EFS のリソースベースのポリシーの例
<a name="security_iam_resource-based-policy-examples"></a>

このセクションでは、さまざまな Amazon EFS アクションに対してアクセス許可を付与または拒否するファイルシステムポリシーの例を示します。EFS ファイルシステムポリシーには 20,000 文字の制限があります。リソースベースのポリシーの要素については、「[Amazon EFS 内のリソースベースのポリシー](security_iam_service-with-iam.md#security_iam_service-with-iam-resource-based-policies)」を参照してください。

**重要**  
ファイルシステムポリシーで個々の IAM ユーザーまたはロールにアクセス許可を付与する場合、ポリシーがファイルシステムで有効な間は、そのユーザーまたはロールを削除または再作成しないでください。そのような操作を行うと、そのユーザーまたはロールはファイルシステムから事実上ロックアウトされ、アクセスできなくなります。詳細については、*IAM ユーザーガイド*の「[プリンシパルの指定](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)」を参照してください。

ファイルシステムポリシーの作成方法の詳細については、「[ファイルシステムポリシーの作成](create-file-system-policy.md)」を参照してください。

**Topics**
+ [

## 例: 特定の AWS ロールへの読み取りおよび書き込みアクセスを許可する
](#file-sys-policy-readonly)
+ [

## 例: 読み取り専用アクセスの付与
](#file-sys-policy-readonly)
+ [

## 例: EFS アクセスポイントにアクセスを許可する
](#file-sys-policy-accessprofile-efs)

## 例: 特定の AWS ロールへの読み取りおよび書き込みアクセスを許可する
<a name="file-sys-policy-readonly"></a>

この例では、EFS ファイルシステムポリシーには、以下のような特徴があります。
+ 効果は `Allow` です。
+ プリンシパルは、 AWS アカウントの Testing\$1Role に設定されています。
+ アクションは `ClientMount` (読み取り)、および `ClientWrite` に設定されます。
+ アクセス許可を付与する条件は `AccessedViaMountTarget` に設定されています。

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/Testing_Role"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}
```

## 例: 読み取り専用アクセスの付与
<a name="file-sys-policy-readonly"></a>

次のファイルシステムポリシーでは、`ClientMount` (読み取り専用) アクセス許可のみを `EfsReadOnly` IAM ロールに付与します。

```
{
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efs-statement-example02",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"            
        }
    ]
}
```

特定の管理ワークステーションを除くすべての IAM プリンシパルに対してルートアクセスを拒否するなど、追加のファイルシステムポリシーを設定する方法については、「[NFS クライアントの IAM 認可を使用したルートスカッシュの有効化](accessing-fs-nfs-permissions.md#enable-root-squashing)」を参照してください。

## 例: EFS アクセスポイントにアクセスを許可する
<a name="file-sys-policy-accessprofile-efs"></a>

EFS アクセスポリシーを使用して、EFS ファイルシステムの共有ファイルベースのデータセットに関するアプリケーション固有のビューを、NFS クライアントに提供します。ファイルシステムポリシーを使用して、ファイルシステムへのアクセス許可をアクセスポイントに付与します。

このファイルポリシーの例では、条件要素を使用して、ARN によって識別された特定のアクセスポイントに対してファイルシステムへのフルアクセスを許可します。

EFS アクセスポイントの使用方法の詳細については、「[アクセスポイントの使用](efs-access-points.md)」を参照してください。

```
{
    "Id": "access-point-example03",
    "Statement": [
        {
            "Sid": "access-point-statement-example03",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"},
            "Action": "elasticfilesystem:Client*",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678",
            "Condition": { 
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } 
            }            
        }
    ]
}
```