本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 亚马逊 EFS 的托管策略
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AWSServiceRoleForAmazonElasticFileSystem
Amazon EFS 使用名`AWSServiceRoleForAmazonElasticFileSystem`为的服务相关角色允许 Amazon EFS 代表您管理 AWS 资源。此角色信任 `elasticfilesystem.amazonaws.com` 服务来代入相关角色。有关更多信息,请参阅 [对 Amazon EFS 使用服务相关角色](using-service-linked-roles.md)。
## AWS 托管策略: AmazonElasticFileSystemFullAccess
您可以将 `AmazonElasticFileSystemFullAccess` 策略附加到 IAM 身份。
此策略授予管理权限,允许对 Amazon EFS 进行完全访问并通过访问相关 AWS 服务 AWS 管理控制台。
**权限详细信息**
该策略包含以下权限。
+ `elasticfilesystem` – 允许主体在 Amazon EFS 控制台中执行所有操作。它还允许委托人使用 AWS Backup创建 (`elasticfilesystem:Backup`) 和恢复 (`elasticfilesystem:Restore`) 备份。
+ `cloudwatch`— 允许委托人在 Amazon EFS 控制台中描述亚马逊 CloudWatch 文件系统指标和某个指标的警报。
+ `ec2`— 允许委托人在 Amazon EFS 控制台中创建、删除和描述网络接口,描述和修改网络接口属性,描述可用区、安全组、子网、虚拟私有云 (VPCs) 以及与 EFS 文件系统关联的 VPC 属性。
+ `kms`— 允许委托人列出 AWS Key Management Service (AWS KMS) 密钥的别名并在 Amazon EFS 控制台中描述 KMS 密钥。
+ `iam`— 授予创建服务关联角色的权限,该角色允许 Amazon EFS 代表用户管理 AWS 资源。
+ `iam:PassRole` - 授予将 IAM 角色传递至 Amazon EFS 的权限。
要查看此策略的权限,请参阅《AWS 托管式策略参考指南》中**的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemFullAccess.html)。
## AWS 托管策略: AmazonElasticFileSystemReadOnlyAccess
您可以将 `AmazonElasticFileSystemReadOnlyAccess` 策略附加到 IAM 身份。
此政策授予通过对 Amazon EFS 的只读访问权限 AWS 管理控制台。
**权限详细信息**
该策略包含以下权限。
+ `elasticfilesystem` – 允许主体在 Amazon EFS 控制台中描述 Amazon EFS 文件系统的属性,包括账户首选项、备份和文件系统策略、生命周期配置、挂载目标及其安全组、标签和接入点。
+ `cloudwatch`— 允许委托人在 Amazon EFS 控制台中检索 CloudWatch 指标并描述指标警报。
+ `ec2`— 允许委托人在 Amazon EFS 控制台中查看可用区、网络接口及其属性、 VPCs 安全组、子网及其属性。
+ `kms`— 允许委托人在 Amazon EFS 控制台中列出 AWS KMS 密钥的别名。
要查看此策略的权限,请参阅《AWS 托管式策略参考指南》中**的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemReadOnlyAccess.html)。
## AWS 托管策略: AmazonElasticFileSystemClientFullAccess
可以将 `AmazonElasticFileSystemClientFullAccess` 策略附加到 IAM 实体。
此策略授予客户端对 EFS 文件系统的读写访问权限。此策略支持 NFS 客户端挂载、读取和写入 EFS 文件系统。
要查看此策略的权限,请参阅《AWS 托管式策略参考指南》中**的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemClientFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemClientFullAccess.html)。
## AWS 托管策略: AmazonElasticFileSystemClientReadWriteAccess
可以将 `AmazonElasticFileSystemClientReadWriteAccess` 策略附加到 IAM 实体。
此策略授予客户端对 EFS 文件系统的读写访问权限。此策略支持 NFS 客户端挂载、读取和写入 EFS 文件系统。
要查看此策略的权限,请参阅《AWS 托管式策略参考指南》中**的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemClientReadWriteAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemClientReadWriteAccess.html)。
## Amazon EFS 更新 AWS 了托管策略
查看自该服务开始跟踪这些更改以来对 Amazon EFS AWS 托管策略的更新的详细信息。要获得有关此页面更改的自动提示,请订阅 Amazon EFS [文档历史记录](document-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 更新现有策略 | 策略:[AmazonElasticFileSystemFullAccess](#security-iam-awsmanpol-AmazonElasticFileSystemFullAccess) Amazon EFS 添加了以下策略: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/efs/latest/ug/security-iam-awsmanpol.html) | 2024 年 11 月 7 日 |
| 更新现有策略 | 策略:[AmazonElasticFileSystemServiceRolePolicy](using-service-linked-roles.md#slr-permissions) Amazon EFS 添加了 `ReplicationRead` 和 `ReplicationWrite` 策略,授予读取和写入文件系统数据以进行复制的权限。 | 2024 年 11 月 7 日 |
| 更新现有策略 | 策略:[AmazonElasticFileSystemReadOnlyAccess](#security-iam-awsmanpol-AmazonElasticFileSystemReadOnlyAccess)Amazon EFS 添加了 `ReplicationRead` 操作,授予读取文件系统数据以进行复制的权限。 | 2024 年 11 月 7 日 |
| 更新现有策略 | 策略:[AmazonElasticFileSystemReadOnlyAccess](#security-iam-awsmanpol-AmazonElasticFileSystemReadOnlyAccess)Amazon EFS 新增了权限,允许源账户和目标账户访问文件系统以进行跨账户复制。 | 2024 年 8 月 7 日 |
| 更新现有策略 | 策略:[AmazonElasticFileSystemFullAccess](#security-iam-awsmanpol-AmazonElasticFileSystemFullAccess)Amazon EFS 添加了一项新权限,以允许主体禁用和启用文件系统的保护。需要这些权限才能允许 Amazon EFS 复制到现有文件系统。 | 2023 年 11 月 27 日 |
| 更新现有策略 | 策略:[AmazonElasticFileSystemServiceRolePolicy](using-service-linked-roles.md#slr-permissions) Amazon EFS 添加了新的权限,允许主体创建、描述和删除 Amazon EFS 副本,以及创建 Amazon EFS 文件系统。需要这些权限才能允许 Amazon EFS 代表用户管理文件系统复制配置。 | 2022 年 1 月 25 日 |
| 更新现有策略 | 策略:[AmazonElasticFileSystemReadOnlyAccess](#security-iam-awsmanpol-AmazonElasticFileSystemReadOnlyAccess) Amazon EFS 添加了一项新权限,允许主体描述 Amazon EFS 复制。需要这些权限才能允许用户查看文件系统复制配置。 | 2022 年 1 月 25 日 |
| 更新现有策略 | 策略:[AmazonElasticFileSystemFullAccess](#security-iam-awsmanpol-AmazonElasticFileSystemFullAccess) Amazon EFS 添加了新的权限,允许主体创建、描述和删除 Amazon EFS 复制。需要这些权限才能允许用户管理文件系统复制配置。 | 2022 年 1 月 25 日 |
| 已开启跟踪策略 | 策略:[AmazonElasticFileSystemClientReadWriteAccess](#security-iam-awsmanpol-AmazonElasticFileSystemClientReadWriteAccess) 向 NFS 客户端授予对 Amazon EFS 文件系统的读写权限。 | 2022 年 1 月 3 日 |
| 已开启跟踪策略 | 策略:[AmazonElasticFileSystemServiceRolePolicy](using-service-linked-roles.md#slr-permissions)Amazon EFS 的服务相关角色权限。 | 2021 年 10 月 8 日 |
| 更新现有策略 | 策略:[AmazonElasticFileSystemFullAccess](#security-iam-awsmanpol-AmazonElasticFileSystemFullAccess) Amazon EFS 添加了新权限,允许主体修改和描述 Amazon EFS 账户首选项。需要这些权限才能允许用户在 Amazon EFS 控制台中查看和设置账户首选项设置。 | 2021 年 5 月 7 日 |
| 对现有策略的更新 | 策略:[AmazonElasticFileSystemReadOnlyAccess](#security-iam-awsmanpol-AmazonElasticFileSystemReadOnlyAccess) Amazon EFS 添加了新权限,允许主体描述 Amazon EFS 账户首选项。需要这些权限才能允许用户在 Amazon EFS 控制台中查看账户首选项设置。 | 2021 年 5 月 7 日 |
| Amazon EFS 已开始跟踪更改 | Amazon EFS 开始跟踪其 AWS 托管策略的变更。 | 2021 年 5 月 7 日 |