As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usar o IAM para controlar o acesso a sistemas de arquivos
Você pode usar políticas de identidade e políticas de recursos do IAM para controlar o acesso do cliente aos recursos do Amazon EFS de maneira escalável e otimizada para ambientes de nuvem. Usando o IAM, você pode permitir que os clientes executem ações específicas em um sistema de arquivos, incluindo acesso raiz, somente leitura e gravação. Uma permissão em uma ação em uma política de *identidade do IAM* *ou* em uma política de recursos do sistema de arquivos permite acesso para essa ação. A permissão não precisa ser concedida *tanto* em uma política de identidade *quanto* em uma política de recursos.
Os clientes NFS podem se identificar usando uma função do IAM ao se conectar a um sistema de arquivos EFS. Quando um cliente se conecta a um sistema de arquivos, o Amazon EFS avalia a política de recursos do IAM do sistema de arquivos, que é chamada de política do sistema de arquivos, juntamente com quaisquer políticas do IAM baseadas em identidade para determinar as permissões de acesso apropriadas ao sistema de arquivos a serem concedidas.
Ao usar a autorização do IAM para clientes NFS, conexões de cliente e decisões de autorização do IAM são registradas em log no AWS CloudTrail. Para obter mais informações sobre como registrar chamadas de API do Amazon EFS com CloudTrail, consulte[Registro de chamadas de API do Amazon EFS com AWS CloudTrail](logging-using-cloudtrail.md).
**Importante**
Você deve usar o auxiliar de montagem do EFS para montar seus sistemas de arquivos do EFS a fim de usar a autorização do IAM para controlar o acesso do cliente. Para obter mais informações, consulte [Montar com autorização do IAM](mounting-IAM-option.md).
## Política de sistema de arquivos padrão do EFS
A política padrão do sistema de arquivos EFS não usa IAM para autenticação e concede acesso total a qualquer cliente anônimo que possa se conectar ao sistema de arquivos usando um destino de montagem. A política padrão estará em vigor sempre que uma política de sistema de arquivos configurada pelo usuário não estiver em vigor, inclusive na criação do sistema de arquivos. Sempre que a política de sistema de arquivos padrão estiver em vigor, uma operação de API `DescribeFileSystemPolicy` retornará uma resposta `PolicyNotFound`.
## Ações do EFS para clientes NFS
É possível especificar as ações a seguir para clientes NFS em um sistema de arquivos usando uma política de sistema de arquivos.
| Ação | Description |
| --- | --- |
| `elasticfilesystem:ClientMount` | Fornece acesso somente leitura a um sistema de arquivos para um cliente NFS. |
| `elasticfilesystem:ClientWrite` | Fornece permissões de gravação em um sistema de arquivos. |
| `elasticfilesystem:ClientRootAccess` | Fornece o uso do usuário raiz ao acessar um sistema de arquivos. |
## Chaves de condição do EFS para clientes NFS
Para expressar condições, você usa chaves de condição predefinidas. O Amazon EFS tem as seguintes chaves de condição predefinidas para clientes NFS. Qualquer outra chave de condição não é aplicada ao usar controles do IAM para proteger o acesso aos sistemas de arquivos EFS.
| Chave de condição do EFS | Description | Operador |
| --- | --- | --- |
| aws:SecureTransport | Use esta chave para exigir que os clientes NFS usem TLS ao se conectar a um sistema de arquivos do EFS. | Booleano |
| aws:SourceIp | Use essa chave para comparar o endereço IP do solicitante com o endereço IP especificado na política. A chave de condição aws:SourceIp só pode ser usada para intervalos de endereços IP públicos. | String |
| elasticfilesystem:AccessPointArn | ARN do ponto de acesso do EFS ao qual o cliente está se conectando. | String |
| elasticfilesystem:AccessedViaMountTarget | Use essa chave para impedir o acesso a um sistema de arquivos EFS por clientes que não estão usando destinos de montagem do sistema de arquivos. | Booleano |
## Exemplos de políticas de sistema de arquivos
Para ver exemplos das políticas do sistema de arquivos do Amazon EFS, consulte [Exemplos de política baseada em recursos para o Amazon EFS](security_iam_resource-based-policy-examples.md).