Como o S3 Files funciona com o IAM
Esta página descreve como o AWS Identity and Access Management (IAM) funciona com o S3 Files e como é possível usar políticas do IAM para controlar o acesso aos sistemas de arquivos.
O S3 Files usa o IAM para dois tipos distintos de controle de acesso:
Acesso à API: controla quem pode criar, gerenciar e excluir recursos do S3 Files, como sistemas de arquivos, destinos de montagem e pontos de acesso. O controle de acesso é realizado por meio de políticas baseadas em identidade anexadas a usuários, grupos ou perfis do IAM.
Acesso de cliente: controla o que os clientes (os recursos de computação montados) podem fazer com o sistema de arquivos depois de se conectarem, como ler, gravar ou acessar arquivos como usuário-raiz. O controle de acesso é realizado por meio uma combinação de políticas baseadas em recursos, políticas baseadas em identidade, pontos de acesso e permissões POSIX.
Usando o IAM, você pode permitir que os clientes executem ações específicas em um sistema de arquivos, incluindo acesso raiz, somente leitura e gravação. Uma permissão em uma ação em uma política de identidade do IAM ou em uma política de recursos do sistema de arquivos permite acesso para essa ação. A permissão não precisa ser concedida tanto em uma política de identidade quanto em uma política de recursos.
As políticas de bucket do S3 no bucket vinculado do S3 também controlam o acesso do recurso de computação e do sistema de arquivos ao bucket do S3. Também é necessário garantir que as políticas do bucket de origem não neguem acesso ao recurso de computação ou sistema de arquivos. Para ver mais detalhes, consulte Políticas de bucket para o Amazon S3.
Políticas baseadas em identidade
As políticas baseadas em identidade são políticas JSON que são anexadas a usuários, grupos ou perfis do IAM. É possível oferecer essas permissões escrevendo políticas personalizadas ou anexando uma política gerenciada pela AWS. Para ter mais informações sobre as políticas gerenciadas disponíveis para acesso à API e acesso de cliente, consulte Políticas gerenciadas pela AWS para o Amazon S3 Files.
O S3 Files também otimiza o desempenho de leitura ao permitir que os clientes leiam os dados do arquivo diretamente do bucket de origem do S3. Ao montar um sistema de arquivos do S3 em um recurso de computação, você deve adicionar uma política em linha ao perfil do IAM desse recurso computação que conceda permissões para ler objetos do bucket do S3 especificado. O auxiliar de montagem usa essas permissões para ler os dados do S3. Para ver mais detalhes sobre essa política, consulte Perfil do IAM para anexar o sistema de arquivos a recursos de computação da AWS.
Políticas baseadas em recursos
Uma política de sistema de arquivos é uma política baseada em recursos do IAM que é anexada diretamente ao sistema de arquivos para controlar o acesso de cliente. É possível usar políticas de sistema de arquivos para permitir ou impedir que os clientes realizem determinadas operações, como montagem, gravação e acesso raiz.
Um sistema de arquivos tem uma política de sistema de arquivos vazia (padrão) ou uma única política explícita. As políticas de sistema de arquivos do S3 têm um limite de 20 mil caracteres. Para ter mais informações sobre como e gerenciar criar políticas de sistema de arquivos, consulte Criar políticas de sistema de arquivos.
Ações do S3 Files para clientes
É possível especificar as seguintes ações em uma política de sistema de arquivos para controlar o acesso de clientes:
| Ação | Descrição |
|---|---|
s3files:ClientMount |
Fornece acesso somente leitura a um sistema de arquivos para um cliente NFS. |
s3files:ClientWrite |
Fornece permissões de gravação em um sistema de arquivos. |
s3files:ClientRootAccess |
Fornece o uso do usuário raiz ao acessar um sistema de arquivos. |
Chaves de condição do S3 Files para clientes
É possível usar as seguintes chaves de condição no elemento Condition de uma política de sistema de arquivos para refinar ainda mais o controle de acesso:
| Chave de condição | Descrição | Operador |
|---|---|---|
s3files:AccessPointArn |
ARN do ponto de acesso do S3 Files ao qual o cliente está se conectando. | String |
Exemplos de políticas de sistema de arquivos
Exemplo: conceder acesso somente leitura
A política de sistema de arquivos a seguir concede apenas permissões ClientMount (somente leitura) ao perfil do IAM ReadOnly. Substitua 111122223333 pelo ID de sua conta da AWS.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/ReadOnly" }, "Action": [ "s3files:ClientMount" ] } ] }
Exemplo: conceder acesso a um ponto de acesso do S3 Files
A política de sistema de arquivos a seguir usa um elemento condicional para conceder a um ponto de acesso específico acesso total ao sistema de arquivos durante a montagem por meio do ponto de acesso especificado. Substitua o ARN do ponto de acesso e o ID da conta por seus próprios valores. Para ter mais informações, consulte Criar pontos de acesso para um sistema de arquivos do S3.
{ "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess" }, "Action": [ "s3files:Client*" ], "Condition": { "StringEquals": { "s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321" } } } ] }
Permissões POSIX
Assim que a autorização do IAM é obtida, o S3 Files aplica as permissões padrão POSIX (estilo UNIX) em nível de arquivo e de diretório. As permissões do POSIX controlam o acesso com base no ID de usuário (UID), no ID de grupo (GID) e nos bits de permissão (leitura, gravação e execução) associados a cada arquivo e diretório. Os pontos de acesso podem impor uma identidade de usuário POSIX específica para todas as solicitações, simplificando o gerenciamento de acesso para conjuntos de dados compartilhados. Para ter mais informações, consulte Criar pontos de acesso para um sistema de arquivos do S3.
Grupos de segurança
Os grupos de segurança atuam como um firewall em nível de rede que controla o tráfego entre os recursos de computação e os destinos de montagem do sistema de arquivos. Para ver detalhes sobre como configurar grupos de segurança e começar a usar o S3 Files, consulte Grupos de segurança.
