Replicación de sistemas de archivos de EFS en distintas cuentas de AWS - Amazon Elastic File System
Creación de un rol de IAM con una política de confianzaCreación de políticas en los sistemas de archivos de origen y de destinoCreación de la configuración de replicación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Replicación de sistemas de archivos de EFS en distintas cuentas de AWS

Puede replicar sistemas de archivos de EFS en diferentes Cuentas de AWS. La replicación entre distintas cuentas mejora la resiliencia y la fiabilidad generales de las estrategias de recuperación ante desastres (DR), y puede ayudarle a cumplir los requisitos de conformidad corporativos.

Por ejemplo, es posible que las políticas de conformidad le exijan utilizar cuentas diferentes para distintos entornos, como los de producción, almacenamiento provisional y recuperación ante desastres (DR). O tal vez descubra que la replicación en diferentes áreas Cuentas de AWS proporciona un aislamiento más sólido, un control más detallado de los permisos y las políticas de acceso y una auditoría de los recursos más sencilla. Si la cuenta de producción está en peligro (por ejemplo, debido a brechas de seguridad, errores de configuración o amenazas internas), tener los servidores de recuperación ante desastres en una cuenta independiente puede impedir que el atacante acceda a ellos, reducir el radio de alcance de los incidentes de seguridad y minimizar el riesgo de cambios no autorizados.

La replicación transversal Cuentas de AWS requiere una configuración adicional de políticas y seguridad. En lugar de utilizar roles vinculados al servicio para realizar la replicación entre cuentas, debe crear un rol de IAM que otorgue a Amazon EFS permiso para realizar la replicación en la cuenta de destino. También debe crear políticas en los sistemas de archivos que desee compartir entre las cuentas. Una vez creado el rol de IAM y las políticas de los sistemas de archivos, debe crear la configuración de replicación.

Creación de un rol de IAM con una política de confianza

Para que Amazon EFS realice la replicación entre cuentas en nombre de la cuenta de origen, se debe crear un rol de IAM en la cuenta de origen. El rol de IAM debe contar con la política de confianza elasticfilesystem.amazonaws.com para permitir a Amazon EFS asumir el rol y actuar como entidad principal del servicio. El rol debe contener todos los permisos de IAM necesarios para realizar la replicación (consulte Permisos de IAM necesarios) y conceder permisos explícitos para replicar en el sistema de archivos de la cuenta de destino.

Requisitos previos

Debe crear el sistema de archivos de origen y el sistema de archivos de destino en la configuración de replicación para poder crear el rol de IAM para la cuenta de origen. Amazon EFS no puede crear el sistema de archivos de destino en su nombre durante la replicación. Además, debe conocer y proporcionar el nombre de recurso de Amazon (ARN) para cada sistema de archivos.

Cómo crear el rol de IAM para la replicación entre cuentas

A continuación, se muestran los pasos generales para crear un rol de IAM con políticas de confianza personalizadas para la replicación entre cuentas con Amazon EFS. Para step-by-step obtener instrucciones sobre cómo crear un rol de IAM, consulte Crear un rol mediante políticas de confianza personalizadas en la Guía del AWS Identity and Access Management usuario.

  1. En la AWS Identity and Access Management consola de la cuenta de origen, cree un rol de IAM que utilice la siguiente política de confianza. Consulte las instrucciones en Creación de un rol mediante políticas de confianza personalizadas, en la Guía del usuario de AWS Identity and Access Management.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "elasticfilesystem.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Después de crear el rol, asígnele los permisos siguientes. Sustituya arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1 por el ARN del sistema de archivos de destino y arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1 por el ARN del sistema de archivos de origen. Para obtener instrucciones sobre cómo asignar permisos al rol, consulte Creación de políticas mediante el editor de JSON.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action":[
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:ReplicationWrite"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1"
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:ReplicationRead",
                "elasticfilesystem:DescribeFileSystems"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1"
        }
    ]
}

  3. Copie o anote el ARN del rol de IAM. En este caso, debe proporcionar el ARN cuando cree la configuración de replicación.

Creación de políticas en los sistemas de archivos de origen y de destino

Para compartir sistemas de archivos entre cuentas en Amazon EFS, debe asignar políticas a los sistemas de archivos de origen y de destino. Las políticas conceden o restringen el acceso de todas las cuentas al sistema de archivos al que se aplican. Solo los propietarios de cuentas con permiso para editar los sistemas de archivos pueden asignar políticas al sistema de archivos de su cuenta.

Además de conceder o restringir el acceso en todas las cuentas, las políticas deben conceder otros permisos necesarios para que los clientes realicen operaciones con los sistemas de archivos, como elasticfilesystem:ClientMount: De lo contrario, es posible que los clientes no puedan acceder al sistema de archivos.

importante

No puede restringir el acceso a los recursos a través de una conexión TLS. Si incluye la condición "aws:SecureTransport": "false" en su instrucción, la conexión del cliente NFS fallará.

Política para el sistema de archivos de destino

Para permitir que la cuenta de origen se replique en el sistema de archivos de destino y para eliminar la configuración de replicación de la cuenta de destino, se debe crear la siguiente política en el sistema de archivos de destino. Sustituya arn:aws:iam::444455556666:root por el ID de la cuenta que es propietaria del sistema de archivos de origen. Sustituya arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1 por el ARN del sistema de archivos de destino.

JSON
{ 
  "Version":"2012-10-17",		 	 	  
  "Statement": [ 
     { 
        "Sid": "AllowSourceAccountReplicationActions", 
        "Effect": "Allow",
        "Principal": { 
        "AWS": "arn:aws:iam::444455556666:root"
      }, 
    "Action": [ 
         "elasticfilesystem:DescribeFileSystems", 
         "elasticfilesystem:CreateReplicationConfiguration", 
         "elasticfilesystem:DescribeReplicationConfigurations",
         "elasticfilesystem:DeleteReplicationConfiguration", 
         "elasticfilesystem:ReplicationWrite" 
         ], 
     "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1"
     },
     {
        "Sid": "AllowReadOnlyClientAccess",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
        },
        "Action": [
            "elasticfilesystem:ClientMount"
        ],
        "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-0123456789abcdef1"            
     }
   ]
}

Política para el sistema de archivos de origen

Para permitir que la cuenta de destino elimine la configuración de replicación de la cuenta de origen, debe asignar la siguiente política al sistema de archivos de origen. Sustituya arn:aws:iam::111122223333:root por el ID de la cuenta que es propietaria del sistema de archivos de destino. Sustituya arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1 por el ARN del sistema de archivos de origen.

JSON
{  
    "Version":"2012-10-17",		 	 	 
    "Id": "efs-policy-wizard-15ad9567-2546-4bbb-8168-5541b6fc0e55",
    "Statement": [
        {
            "Sid": "AllowDestinationAccountToDeleteReplication",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "elasticfilesystem:DeleteReplicationConfiguration",
            "Resource": "arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1"
        },
        {
            "Sid": "AllowClientAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/EfsReadOnly"
            },
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:us-east-1:444455556666:file-system/fs-5678910112hijkqr1",
            "Condition": {
               "Bool": {
                   "elasticfilesystem:AccessedViaMountTarget": "true"
               }
           }            
        }
    ]
}
Cómo crear la política del sistema de archivos

Realice los siguientes pasos tanto para el sistema de archivos de destino como para el de origen, utilizando las políticas de la sección anterior.

  1. Inicie sesión Consola de administración de AWS con la cuenta propietaria del sistema de archivos y, a continuación, abra la consola Amazon EFS en Amazon EFS Console.

  2. Abra el sistema de archivos:

    1. En el panel de navegación, elija Sistemas de archivos.

    2. En la lista Sistemas de archivos, elija el sistema de archivos.

  3. En la pestaña Política del sistema de archivos, elija Editar.

  4. Pegue la política en el Editor de políticas {Json} y, a continuación, seleccione Guardar.

Creación de la configuración de replicación

Una vez que haya creado el rol de IAM y agregado las políticas del sistema de archivos a los sistemas de archivos de origen y destino, siga las instrucciones de Configuración de la replicación en un sistema de archivos de EFS existente para crear la configuración de replicación.