本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 封鎖對 EFS 檔案系統的公開存取
<a name="access-control-block-public-access"></a>

Amazon EFS 封鎖公開存取功能提供設定，協助您管理對 EFS 檔案系統的公開存取。根據預設，新的 EFS 檔案系統不允許公開存取。但是，您可以修改檔案系統政策，實現公開存取。

**重要**  
啟用封鎖公開存取有助於保護您的資源，方法是防止透過直接連接到檔案系統的資源政策授予公開存取。除了啟用封鎖公開存取之外，請仔細檢查下列政策，以確認這些政策未授予公開存取：  
連接到相關聯 AWS 主體的身分型政策 （例如 IAM 角色）
連接至相關聯 AWS 資源的資源型政策 （例如，AWS Key Management Service (KMS) 金鑰）

**Topics**
+ [使用 封鎖公開存取 AWS Transfer Family](#block-efs-public-access-with-transferfamily)
+ [「公有」的意義](#what-is-a-public-policy)

## 使用 封鎖公開存取 AWS Transfer Family
<a name="block-efs-public-access-with-transferfamily"></a>

當您搭配 使用 Amazon EFS 時 AWS Transfer Family，如果檔案系統允許公開存取，則會封鎖從 Transfer Family 伺服器接收的檔案系統存取請求，而該伺服器是由與檔案系統不同的帳戶所擁有。Amazon EFS 會評估檔案系統的 IAM 政策，如果政策是公開的，Amazon EFS 則會封鎖該請求。若要允許 AWS Transfer Family 存取您的檔案系統，請更新您的檔案系統政策，使其不被視為公開。

**注意**  
對於具有允許在 2021 年 1 月 6 日之前建立公開存取之政策的 EFS 檔案系統的 AWS 帳戶，預設會停用使用 Transfer Family 搭配 Amazon EFS。若要使用 Transfer Family 存取您的檔案系統，請聯絡 AWS Support。

## 「公有」的意義
<a name="what-is-a-public-policy"></a>

評估檔案系統是否允許公開存取時，Amazon EFS 會假設檔案系統政策是公開狀態。然後，根據檔案系統政策評估情況判斷其是否具備非公開條件。若要視為具備非公開條件，檔案系統政策必須僅將存取授予以下一或多個項目的固定值 (不包含萬用字元的值)：
+  AWS 委託人、使用者、角色或服務委託人 （例如 `aws:PrincipalOrgID`)
+ `aws:SourceArn`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:SourceOwner`
+ `aws:SourceAccount`
+ `elasticfilesystem:AccessedViaMountTarget`
+ `aws:userid, outside the pattern "AROLEID:*"`

在這些規則之下，下列範例政策視為公開狀態。

------
#### [ JSON ]

****  

```
{  
    "Version":"2012-10-17",		 	 	 
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*"
            }
     ]
}
```

------

您可以 EFS 條件索引鍵 `elasticfilesystem:AccessedViaMountTarget` 集設定為 true，即得到非公開的檔案系統政策。您可使用 `elasticfilesystem:AccessedViaMountTarget` 實現特定的 EFS 操作，這些操作通過使用檔案系統挂載目標可訪問 EFS 文件系統的客戶端。下列非公用政策會將 `elasticfilesystem:AccessedViaMountTarget` 條件索引鍵集設定為 true。

------
#### [ JSON ]

****  

```
{  
    "Version":"2012-10-17",		 	 	 
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "efs-statement-14a7191c-9401-40e7-a388-6af6cfb7dd9c",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/*",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        }
    ]
}
```

------

如需 Amazon EFS 條件索引鍵的詳細資訊，請參閱 [用戶端的 EFS 條件金鑰](iam-access-control-nfs-efs.md#efs-condition-keys-for-nfs)。如需建立檔案系統政策的詳細資訊，請參閱 [建立檔案系統政策](create-file-system-policy.md)。