本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于 Amazon EFS 的基于资源的策略示例
<a name="security_iam_resource-based-policy-examples"></a>

在本节中，您可以找到为各种 Amazon EFS 操作授予或拒绝权限的示例文件系统策略。EFS 文件系统策略有 2 万个字符的限制。有关基于资源的策略的元素的信息，请参阅[Amazon EFS 基于资源的策略](security_iam_service-with-iam.md#security_iam_service-with-iam-resource-based-policies)。

**重要**  
如果您在文件系统策略中向单个 IAM 用户或角色授予权限，则不要在策略在文件系统上有效时删除或重新创建该用户或角色。如果这样做，该用户或角色将实际在文件系统中锁定，并且将无法访问该用户或角色。有关更多信息，请参阅《IAM 用户指南》**中的[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)。

有关如何创建系统策略的信息，请参阅[创建文件系统策略](create-file-system-policy.md)。

**Topics**
+ [示例：向特定 AWS 角色授予读写权限](#file-sys-policy-readonly)
+ [示例：授予只读访问权限](#file-sys-policy-readonly)
+ [示例：授予对 EFS 接入点的访问权限](#file-sys-policy-accessprofile-efs)

## 示例：向特定 AWS 角色授予读写权限
<a name="file-sys-policy-readonly"></a>

在此示例中，EFS 文件系统策略具有以下特征：
+ 效果是 `Allow`。
+  AWS 账户中的主体设置为 Testing\$1Role。
+ 操作设置为 `ClientMount`（读取）和 `ClientWrite`。
+ 授予权限的条件设置为 `AccessedViaMountTarget`。

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/Testing_Role"
            },
            "Action": [
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-1234abcd",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}
```

## 示例：授予只读访问权限
<a name="file-sys-policy-readonly"></a>

以下文件系统策略仅向 `EfsReadOnly` IAM 角色授予 `ClientMount` 或只读权限。

```
{
    "Id": "read-only-example-policy02",
    "Statement": [
        {
            "Sid": "efs-statement-example02",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"            
        }
    ]
}
```

要了解如何设置其他文件系统策略，包括拒绝对所有 IAM 主体（特定管理工作站除外）的根访问权限，请参阅[使用 IAM 授权为 NFS 客户端启用根挤压](accessing-fs-nfs-permissions.md#enable-root-squashing)。

## 示例：授予对 EFS 接入点的访问权限
<a name="file-sys-policy-accessprofile-efs"></a>

您可以使用 EFS 访问策略向 NFS 客户端提供 EFS 文件系统上基于文件的共享数据集的应用程序特定视图。您可以使用文件系统策略向访问点授予对文件系统的权限。

此文件策略示例使用条件元素向由其 ARN 标识的特定访问点授予对文件系统的完全访问权限。

有关使用 EFS 接入点的更多信息，请参阅[使用接入点工作](efs-access-points.md)。

```
{
    "Id": "access-point-example03",
    "Statement": [
        {
            "Sid": "access-point-statement-example03",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::555555555555:role/EfsAccessPointFullAccess"},
            "Action": "elasticfilesystem:Client*",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678",
            "Condition": { 
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn":"arn:aws:elasticfilesystem:us-east-2:555555555555:access-point/fsap-12345678" } 
            }            
        }
    ]
}
```