本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建文件系统策略
可以使用 Amazon EFS 控制台或 AWS CLI创建文件系统策略。您也可以直接使用 AWS SDKs 或 Amazon EFS API,以编程方式创建文件系统策略。EFS 文件系统策略有 2 万个字符的限制。有关使用 EFS 文件系统策略的更多信息和示例,请参阅[使用 IAM 控制文件系统访问](iam-access-control-nfs-efs.md)。
**注意**
Amazon EFS 文件系统策略更改可能需要几分钟才能生效。
## 使用控制台
1. 打开 Amazon Elastic File System 控制台,网址为[https://console.aws.amazon.com/efs/](https://console.aws.amazon.com/efs/)。
1. 选择 **File Systems (文件系统)**。
1. 在 **File systems**(文件系统)页面上,选择要为其编辑或创建文件系统策略的文件系统。
1. 选择**文件系统策略**,然后选择**编辑**。
1. 在**策略选项**中,可以选择预配置文件系统策略的任意组合:
+ **默认阻止根访问** – 此选项可从允许的 EFS 操作集中移除 `ClientRootAccess`。
+ **默认强制执行只读访问** – 此选项可从允许的 EFS 操作集中移除 `ClientWriteAccess`。
+ **防止匿名访问** – 此选项可从允许的 EFS 操作集中移除 `ClientMount`。
+ **对所有客户端强制执行传输中加密** – 此选项拒绝访问未加密的客户端。
选择预配置的策略时,策略 JSON 对象将显示在**策略编辑器**窗格中。
1. 使用**授予额外权限**向其他 IAM 委托人(包括另一个 AWS 账户)授予文件系统权限。选择**添加**,然后输入要向其授予权限的实体的主体 ARN。然后选择要授予的**权限**。其他权限将显示在**策略编辑器**中。
1. 可以使用**策略编辑器**自定义预配置策略或创建自己的文件系统策略。使用编辑器时,预配置策略选项将不可用。要清除当前文件系统策略并开始创建新策略,请选择**清除**。
清除编辑器后,预配置策略将再次可用。
1. 编辑完策略后,选择**保存**。
## 使用 AWS CLI
在以下示例中,[https://docs.aws.amazon.com/cli/latest/reference/efs/put-file-system-policy.html](https://docs.aws.amazon.com/cli/latest/reference/efs/put-file-system-policy.html)CLI 命令创建了一个文件系统策略,该策略允许对 EFS 文件系统进行指定的 AWS 账户 只读访问。等效的 API 命令是 [PutFileSystemPolicy](API_PutFileSystemPolicy.md)。
```
aws efs put-file-system-policy --file-system-id fs-01234567 --policy '{
"Id": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:ClientMount"
],
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
}
}
]
}'
```