本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 IAM 控制檔案系統的存取
<a name="iam-access-control-nfs-efs"></a>

您可以採取一種適用於雲端環境可擴充和最佳化的方式，使用 IAM 身分政策和資源政策來控制用戶端對 Amazon EFS 資源的存取。您可以使用 IAM，允許用戶端在檔案系統上執行特定動作，包括唯讀、寫入和根存取。IAM 身分識別政策*或***檔案系統資源政策中的動作具有「允許」許可，可允許存取該動作。身分識別*和*資源政策*均*不需要同時授與許可。

 NFS 用戶端可以在連線到 EFS 檔案系統時，使用 IAM 角色來識別自己。當用戶端連線至檔案系統時，Amazon EFS 會評估檔案系統中稱為檔案系統政策的 IAM 資源政策，以及任何身分型 IAM 政策，以決定要授予的適當檔案系統存取權限。

使用 NFS 用戶端的 IAM 授權時，用戶端連線和 IAM 授權決策會紀錄於 AWS CloudTrail。如需如何使用 CloudTrail 記錄 Amazon EFS API 呼叫的詳細資訊，請參閱 [使用 記錄 Amazon EFS API 呼叫 AWS CloudTrail](logging-using-cloudtrail.md)。

**重要**  
您必須使用 EFS 掛載協助程式掛載 EFS 檔案系統，才能使用 IAM 授權來控制用戶端存取。如需詳細資訊，請參閱[使用 IAM 授權掛載](mounting-IAM-option.md)。

## 預設 EFS 檔案系統政策
<a name="default-filesystempolicy"></a>

預設的 EFS 檔案系統政策不使用 IAM 進行驗證，並且會將完全存取權授予任何可以使用掛載目標連線至檔案系統的匿名用戶端。每當使用者設定的檔案系統政策未生效時，預設政策就會生效，包括在建立檔案系統時。每當預設檔案系統政策生效時，`DescribeFileSystemPolicy` API 操作便會傳回 `PolicyNotFound` 回應。

## 用戶端的 EFS 動作
<a name="efs-filesystempolicy-actions"></a>

您可以使用檔案系統政策，為存取檔案系統的用戶端指定下列動作。


| Action | Description | 
| --- | --- | 
| `elasticfilesystem:ClientMount` | 提供檔案系統的唯讀存取權。 | 
| `elasticfilesystem:ClientWrite` | 在檔案系統上提供具有寫入權限。 | 
| `elasticfilesystem:ClientRootAccess` | 存取檔案系統時，提供使用根使用者的功能。 | 

## 用戶端的 EFS 條件金鑰
<a name="efs-condition-keys-for-nfs"></a>

欲表示條件，您可以使用預先定義的條件金鑰。Amazon EFS 為 NFS 用戶端提供下列預先定義的條件金鑰。使用 IAM 控制安全存取 EFS 檔案系統時，不會強制執行任何其他條件金鑰。


| EFS 條件金鑰 | Description | 運算子 | 
| --- | --- | --- | 
| aws:SecureTransport | 在連線到 EFS 檔案系統時，使用此金鑰要求用戶端使用 TLS。 | Boolean | 
| aws:SourceIp | 使用此鍵來將申請者的 IP 地址和您在政策中所指定的 IP 地址進行比較。aws:SourceIp 條件鍵僅可用於公有 IP 地址範圍。 | String | 
| elasticfilesystem:AccessPointArn | 用戶端連線到的 EFS 存取點 ARN。 | String | 
| elasticfilesystem:AccessedViaMountTarget | 客戶端未使用檔案系統掛載目標時，可使用此金鑰防止其存取到 EFS 檔案系統中。 | Boolean | 

## 檔案系統政策範例
<a name="file-system-policy-examples"></a>

若要檢視 Amazon EFS 檔案系統政策範例，請參閱 [Amazon EFS 的資源型政策範例](security_iam_resource-based-policy-examples.md)。