本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 跨 AWS 帳戶複寫 EFS 檔案系統
您可以跨 複寫 EFS 檔案系統 AWS 帳戶。跨帳戶複寫可增強災難復原 (DR) 策略的整體彈性和可靠性,並可協助您滿足企業合規要求。
例如,合規政策可能會要求您將不同的帳戶用於不同的環境 (例如生產、預備和災難復原 (DR))。或者,您可能會發現跨不同 的複寫 AWS 帳戶 提供更強大的隔離、更精細地控制許可和存取政策,以及更直接地稽核資源。如果生產帳戶遭到入侵 (例如安全漏洞、設定錯誤或內部威脅),讓 DR 伺服器位於不同的帳戶中,可防止攻擊者存取它們、降低安全事件的爆量半徑,並將未經授權的變更風險降至最低。
跨 複寫 AWS 帳戶 需要額外的安全性和政策設定。您必須建立 IAM 角色,授予 Amazon EFS 在目的地帳戶中執行複寫的許可,而不是使用服務連結角色來執行跨帳戶複寫。您也需要在要跨帳戶共用的檔案系統上建立政策。建立 IAM 角色和檔案系統政策之後,您可以建立複寫組態。
**Topics**
+ [使用自訂信任政策建立 IAM 角色](#replication-create-iam-role)
+ [在來源和目的地檔案系統上建立政策](#replication-assign-fs-policies)
+ [建立複寫組態](#xar-create-replication-configuration)
## 使用自訂信任政策建立 IAM 角色
若要讓 Amazon EFS 代表來源帳戶執行跨帳戶複寫,必須在來源帳戶上建立 IAM 角色。該角色必須具有`elasticfilesystem.amazonaws.com`信任政策,以允許 Amazon EFS 擔任該角色並擔任服務主體。角色必須包含執行複寫所需的所有 IAM 許可 (請參閱[所需的 IAM 許可](efs-replication.md#efs-replication-permissions)),並授予明確許可以複寫至目的地帳戶中的檔案系統。
### 先決條件
您必須先在複寫組態中建立來源檔案系統和目的地檔案系統,才能為來源帳戶建立 IAM 角色。Amazon EFS 無法在複寫期間為您建立目的地檔案系統。此外,您必須知道並提供每個檔案系統的 Amazon Resource Name (ARN)。
**建立跨帳戶複寫的 IAM 角色**
以下是使用自訂信任政策建立 IAM 角色的一般步驟,以使用 Amazon EFS 進行跨帳戶複寫。如需建立 IAM 角色的step-by-step說明,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用自訂信任政策建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。
1. 在來源帳戶的 AWS Identity and Access Management 主控台中,建立使用下列信任政策的 IAM 角色。如需指示,請參閱《 *AWS Identity and Access Management 使用者指南*》中的[使用自訂信任政策建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "elasticfilesystem.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 建立角色之後,請為角色指派下列許可。`arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1` 將 取代為目的地檔案系統的 ARN,並將 取代`arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1`為來源檔案系統的 ARN。如需將許可指派給角色的指示,請參閱[使用 JSON 編輯器建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action":[
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:CreateReplicationConfiguration",
"elasticfilesystem:DescribeReplicationConfigurations",
"elasticfilesystem:DeleteReplicationConfiguration",
"elasticfilesystem:ReplicationWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1"
},
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:ReplicationRead",
"elasticfilesystem:DescribeFileSystems"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1"
}
]
}
```
------
1. 複製或寫下 IAM 角色的 ARN。建立複寫組態時,您需要提供 ARN。
## 在來源和目的地檔案系統上建立政策
若要在 Amazon EFS 中跨帳戶共用檔案系統,您必須將政策指派給目的地和來源檔案系統。這些政策會將跨帳戶的存取權授予或限制至其套用的檔案系統。只有具有編輯檔案系統許可的帳戶擁有者,才能將政策指派給其帳戶中的檔案系統。
除了授予或限制跨帳戶的存取之外,政策還需要授予用戶端使用檔案系統所需的其他許可,例如 `elasticfilesystem:ClientMount`。否則,用戶端可能無法存取檔案系統。
**重要**
您無法透過 TLS 連線限制對 資源的存取。如果您在陳述式中包含 `"aws:SecureTransport": "false"`條件,NFS 用戶端連線將會失敗。
### 目的地檔案系統的政策
若要允許來源帳戶許可複寫至目的地檔案系統,並從目的地帳戶刪除複寫組態,必須在目的地檔案系統上建立下列政策。`arn:aws:iam::444455556666:root` 將 取代為擁有來源檔案系統的 帳戶 ID。`arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1` 將 取代為目的地檔案系統的 ARN
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSourceAccountReplicationActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": [
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:CreateReplicationConfiguration",
"elasticfilesystem:DescribeReplicationConfigurations",
"elasticfilesystem:DeleteReplicationConfiguration",
"elasticfilesystem:ReplicationWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1"
},
{
"Sid": "AllowReadOnlyClientAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
},
"Action": [
"elasticfilesystem:ClientMount"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1"
}
]
}
```
------
### 來源檔案系統的政策
若要允許目的地帳戶從來源帳戶刪除複寫組態的許可,您必須將下列政策指派給來源檔案系統。`arn:aws:iam::111122223333:root` 將 取代為擁有目的地檔案系統的帳戶 ID。將 ` arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1`取代為來源檔案系統的 ARN。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
"Statement": [
{
"Sid": "AllowDestinationAccountToDeleteReplication",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "elasticfilesystem:DeleteReplicationConfiguration",
"Resource": "arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1"
},
{
"Sid": "AllowClientAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
},
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientRootAccess"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1",
"Condition": {
"Bool": {
"elasticfilesystem:AccessedViaMountTarget": "true"
}
}
}
]
}
```
------
**建立檔案系統政策**
使用上一節中的政策,同時對目的地和來源檔案系統執行下列步驟。
1. AWS 管理主控台 使用擁有檔案系統的帳戶登入 ,然後在 Amazon EFS 主控台開啟 [Amazon EFS 主控台](https://console.aws.amazon.com/efs/)。
1. 開啟檔案系統:
1. 在左側導覽窗格中選擇**檔案系統**。
1. 在**檔案系統**清單中,選擇檔案系統。
1. 在**檔案系統政策**索引標籤上,選擇**編輯**。
1. 在政策**編輯器 \$1Json\$1 中貼上政策**,然後選擇**儲存**。
## 建立複寫組態
在您建立 IAM 角色並將檔案系統政策新增至來源和目的地檔案系統之後,請遵循 中的指示[設定複寫至現有的 EFS 檔案系統](replicate-existing-destination.md)來建立複寫組態。