该AWS EFS策略有什么问题?

时间:2020-08-08 17:23:09

标签: amazon-web-services amazon-ec2 amazon-efs

我在使用AWS方面还很陌生,我只是在尝试并尝试学习。因此,我有一个带有IAM角色的EC2实例。我还有一个具有以下策略的EFS文件系统。我的目的是限制将访问点安装到具有IAM角色的EC2实例。

但是当我尝试从EC2实例挂载时,访问被拒绝。

mount.nfs4:安装127.0.0.1时服务器拒绝访问:

如果将主体更改为“ AWS”:“ *”,则可以安装访问点。根据文档,我可以将EC2实例使用的IAM角色指定为主体,但似乎不起作用。

我怀疑我的问题与我附加到EC2实例的角色有关。该角色具有EFS客户端操作,但是当我在IAM控制台中查看该角色并检查访问顾问时,它说该角色从未被访问过。所以我可能做的事情根本上是错误的。

{
    "Version": "2020-08-08",
    "Id": "access-point-www",
    "Statement": [
        {
            "Sid": "access-point-webstorage",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::12345678:role/wwwservers"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:12345678:file-system/fs-987654da",
            "Condition": {
                "StringEquals": {
                    "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:12345678:access-point/fsap-01ffffbfb38217bcd"
                }
            }
        }
    ]
}

1 个答案:

答案 0 :(得分:0)

您是否启用了 IAM 挂载?否则 AWS 会尝试挂载 EFS 卷作为匿名原则。

对于 EC2,就像您的情况一样,您可能只需提供 -o iam 作为挂载调用的选项。
请参阅:https://docs.amazonaws.cn/en_us/efs/latest/ug/efs-mount-helper.html#mounting-IAM-option

对于 ECS/任务定义,可以通过以下方式完成:

像这里这样: aws_ecs_task_definition.volume.efs_volume_configuration.authorization_config

resource "aws_ecs_task_definition" "service" {
  family = "something"
  container_definitions = file("something.json")

  volume {
    name = "service-storage"
    
    efs_volume_configuration {
      file_system_id     = aws_efs_file_system.efs[0].id
      root_directory     = "/"
      transit_encryption = "ENABLED"
      authorization_config {
        iam = "ENABLED"
      }
    }
  }
}
<块引用>

iam -(可选)在挂载 Amazon EFS 文件系统时是否使用任务定义中定义的 Amazon ECS 任务 IAM 角色。如果启用,则必须在 EFSVolumeConfiguration 中启用传输加密。有效值:启用、禁用。如果省略此参数,则使用默认值 DISABLED。

如果您的 CloudTrail 中有匿名主体尝试挂载您的 EFS 的错误,这将对您有所帮助。错误看起来像这样:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "",
        "accountId": "ANONYMOUS_PRINCIPAL"
    },
    "eventSource": "elasticfilesystem.amazonaws.com",
    "eventName": "NewClientConnection",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "elasticfilesystem",
    "errorCode": "AccessDenied",
    "readOnly": true,
    "resources": [
        {
            "accountId": "XXXXXX",
            "type": "AWS::EFS::FileSystem",
            "ARN": "arn:aws:elasticfilesystem:eu-west-1:XXXXXX:file-system/YYYYYY"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "XXXXXX",
    "sharedEventID": "ZZZZZZZZ",
    "serviceEventDetails": {
        "permissions": {
            "ClientRootAccess": false,
            "ClientMount": false,
            "ClientWrite": false
        },
        "sourceIpAddress": "nnnnnnn"
    }
}

注意:"principalId": "","accountId": "ANONYMOUS_PRINCIPAL"

相关问题
最新问题