Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS) - Amazon Elastic File System
Exemples de cas d'utilisation et d'autorisations du système de fichiers EFSAutorisations d'identification d'utilisateur et de groupe pour les fichiers et les répertoires d'un système de fichiersAucun écrasement racineMise en cache des autorisationsModification de la propriété d’un objet du système de fichiersPoints d’accès EFS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisateurs, groupes et autorisations au niveau du système de fichiers réseau (NFS)

Après la création d’un système de fichiers, par défaut, seul l’utilisateur racine (UID 0) dispose d’autorisations de lecture-écriture-exécution. Pour que d’autres utilisateurs puissent modifier le système de fichiers, l’utilisateur racine doit leur accorder explicitement l’accès. Vous pouvez utiliser des points d’accès pour automatiser la création de répertoires accessibles en écriture à partir d’un utilisateur non racine. Pour de plus amples informations, veuillez consulter Utilisation des points d’accès.

Un mode de style Unix est associé aux objets du système de fichiers EFS. La valeur de ce mode définit les autorisations permettant d’effectuer des actions au niveau de cet objet. Les utilisateurs familiers avec les systèmes de style UNIX comprendront facilement comment Amazon EFS se comporte quant à ces autorisations.

En outre, sur les systèmes de type Unix, les utilisateurs et les groupes sont mappées à des identificateurs numériques, lesquels sont utilisés par Amazon EFS pour représenter la propriété de fichier. Pour Amazon EFS, les objets du système de fichiers (c’est-à-dire les fichiers, les répertoires, etc.) appartiennent à un seul propriétaire et à un seul groupe. Amazon EFS utilise le numérique mappé IDs pour vérifier les autorisations lorsqu'un utilisateur tente d'accéder à un objet du système de fichiers.

Note

Le protocole NFS prend en charge un maximum de 16 groupes IDs (GIDs) par utilisateur et tous les groupes supplémentaires GIDs sont tronqués à partir des demandes des clients NFS. Pour de plus amples informations, veuillez consulter Accès refusé aux fichiers autorisés sur le système de fichiers NFS.

Vous trouverez ci-dessous des exemples d’autorisations et une discussion sur les considérations relatives aux autorisations de NFS pour Amazon EFS.

Rubriques

Exemples de cas d'utilisation et d'autorisations du système de fichiers EFS

Après avoir créé un système de fichiers EFS et monté des cibles pour le système de fichiers dans votre VPC, vous pouvez monter le système de fichiers distant localement sur votre instance Amazon EC2. La commande mount permet de monter un répertoire sur le système de fichiers. Toutefois, lorsque vous créez le système de fichiers pour la première fois, un seul répertoire racine se trouve à l’emplacement /. L’utilisateur racine et le groupe racine sont propriétaires du répertoire monté.

La commande mount suivante permet de monter le répertoire racine d’un système de fichiers Amazon EFS, identifié par le nom DNS de système de fichiers, dans le répertoire local /efs-mount-point.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

Le mode d’autorisations initial autorise :

  • des autorisations read-write-execute sur le propriétaire racine

  • des autorisations read-execute sur le groupe racine

  • des autorisations read-execute sur les autres

Seul l’utilisateur racine peut modifier ce répertoire. L’utilisateur racine peut aussi accorder des autorisations à d’autres utilisateurs pour l’écriture dans ce répertoire, par exemple :

  • Créer des sous-répertoires par utilisateur accessibles en écriture. Pour step-by-step obtenir des instructions, voirTutoriel : Création de sous-répertoires accessibles en écriture par utilisateur.

  • Autorisez les utilisateurs à écrire à la racine du système de fichiers EFS. Un utilisateur avec des privilèges racine peut accorder à d’autres utilisateurs l’accès au système de fichiers.

    • Pour attribuer la propriété du système de fichiers EFS à un utilisateur et à un groupe non root, procédez comme suit :

      $ sudo chown user:group /EFSroot

    • Pour remplacer les autorisations du système de fichiers par des autorisations moins restrictives, utilisez la commande suivante :

      $ sudo chmod 777 /EFSroot

      Cette commande accorde des read-write-execute privilèges à tous les utilisateurs sur toutes les instances EC2 sur lesquelles le système de fichiers est monté.

Autorisations d'identification d'utilisateur et de groupe pour les fichiers et les répertoires d'un système de fichiers

Les fichiers et les répertoires d'un système de fichiers EFS prennent en charge les autorisations de lecture, d'écriture et d'exécution standard de style UNIX en fonction de l'ID utilisateur et du groupe. IDs Lorsqu’un client NFS monte un système de fichiers EFS sans utiliser de point d’accès, l’ID utilisateur et l’ID de groupe fournis par le client sont approuvés. Vous pouvez utiliser les points d'accès EFS pour remplacer l'ID utilisateur et le groupe IDs utilisés par le client NFS. Lorsque des utilisateurs tentent d'accéder à des fichiers et à des répertoires, Amazon EFS contrôle leur utilisateur IDs et leur groupe IDs pour vérifier que chaque utilisateur est autorisé à accéder aux objets. Amazon EFS les utilise également IDs pour indiquer le propriétaire et le propriétaire du groupe pour les nouveaux fichiers et répertoires créés par l'utilisateur. Amazon EFS n’examine pas les noms des utilisateurs ou des groupes, il utilise uniquement les identifiants numériques.

Note

Lorsque vous créez un utilisateur sur une instance EC2, vous pouvez lui affecter un ID utilisateur (UID) et un ID de groupe (GID) numériques. Les utilisateurs numériques IDs sont définis dans le /etc/passwd fichier sur les systèmes Linux. Le groupe numérique IDs se trouve dans le /etc/group fichier. Ces fichiers définissent les mappings entre les noms et les ID. En dehors de l'instance EC2, Amazon EFS n'effectue aucune authentification pour ces derniers IDs, y compris l'ID racine 0.

Si un utilisateur accède à un système de fichiers EFS à partir de deux instances EC2 différentes, selon que l'UID de l'utilisateur est identique ou différent sur ces instances, vous constatez un comportement différent, comme suit :

  • Si les ID d’utilisateur sont identiques sur les deux instances EC2, Amazon EFS estime qu’ils indiquent le même utilisateur, quelle que soit l’instance EC2 utilisée. L’expérience utilisateur lors de l’accès au système de fichiers est la même depuis les deux instances EC2.

  • Si les ID d’utilisateur ne sont pas les mêmes sur les deux instances EC2, Amazon EFS considère les utilisateurs comme étant des utilisateurs différents. L'expérience utilisateur n'est pas la même lorsqu'il accède au système de fichiers EFS à partir de deux instances EC2 différentes.

  • Si deux utilisateurs différents sur différentes instances EC2 partagent un ID, Amazon EFS estime qu’il s’agit du même utilisateur.

Vous pouvez envisager de gérer les mappings d’ID utilisateur sur les instances EC2 de manière cohérente. Les utilisateurs peuvent vérifier leur ID numérique à l’aide de la commande id .

$ id 

uid=502(joe) gid=502(joe) groups=502(joe)

Désactivation de l’outil de mappage d’ID

Les utilitaires NFS du système d'exploitation incluent un démon appelé ID Mapper qui gère le mappage entre les noms d'utilisateur et. IDs Dans Amazon Linux, ce démon est appelé rpc.idmapd et sur Ubuntu il est appelé idmapd. Il convertit les ID utilisateur et ID de groupe en noms et inversement. Toutefois, Amazon EFS gère uniquement les ID numériques. Nous vous recommandons de désactiver ce processus sur vos instances EC2. Sur Amazon Linux, l’outil de mappage d’ID est généralement désactivé. Si tel est le cas, ne l’activez pas. Pour désactiver l’outil de mappage d’ID, utilisez la commande illustrée ci-dessous.

$  service rpcidmapd status
$  sudo service rpcidmapd stop

Aucun écrasement racine

Par défaut, l’écrasement root est désactivé sur les systèmes de fichiers EFS. Amazon EFS se comporte comme un serveur NFS Linux avec no_root_squash. Si un ID d’utilisateur ou de groupe est 0, Amazon EFS traite cet utilisateur en tant qu’utilisateur root, et il omet les vérifications d’autorisations (en autorisant l’accès à tous les objets de système de fichiers et leur modification). L'écrasement root peut être activé sur une connexion client lorsque la politique d'identité ou de ressource Gestion des identités et des accès AWS (AWS IAM) n'autorise pas l'accès à l'ClientRootAccessaction. Lorsque l’écrasement racine est activé, l’utilisateur racine est converti en utilisateur disposant d’autorisations limitées sur le serveur NFS.

Pour de plus amples informations, veuillez consulter Utilisation de l'IAM pour contrôler l'accès aux systèmes de fichiers.

Activer l'écrasement des racines à l'aide de l'autorisation IAM pour les clients NFS

Vous pouvez configurer Amazon EFS pour empêcher l'accès root à votre système de fichiers EFS pour tous les AWS principaux, à l'exception d'un seul poste de gestion. Pour ce faire, configurez l’autorisation Gestion des identités et des accès AWS (IAM) pour les clients NFS (Network File System).

Pour ce faire, vous devez configurer deux stratégies d’autorisation IAM comme suit :

  • Créez une stratégie de système de fichiers EFS qui autorise explicitement l’accès en lecture et en écriture au système de fichiers et qui refuse implicitement l’accès racine.

  • Attribuez une identité IAM à la station de travail de gestion Amazon EC2 qui nécessite un accès root au système de fichiers à l'aide d'un profil d'instance EC2. Pour plus d'informations sur les profils d'instance Amazon EC2, consultez la section Utiliser des profils d'instance dans le guide de l'Gestion des identités et des accès AWS utilisateur.

  • Attribuez la politique AmazonElasticFileSystemClientFullAccess AWS gérée au rôle IAM de la station de travail de gestion. Pour plus d'informations sur les politiques AWS gérées pour Amazon EFS, consultezGestion des identités et des accès pour Amazon EFS.

Pour activer l’écrasement racine à l’aide de l’autorisation IAM pour les clients NFS, procédez comme suit :

Pour empêcher l’accès de la racine au système de fichiers

  1. Ouvrez la console Amazon Elastic File System à l'adresse https://console.aws.amazon.com/efs/.

  2. Choisissez File Systems (Systèmes de fichiers).

  3. Choisissez le système de fichiers sur lequel vous souhaitez activer l'écrasement root.

  4. Sur la page de détails du système de fichiers, choisissez Stratégie du système de fichiers, puis Modifier. La page File system policy (Stratégie du système de fichiers) s’affiche.

  5. Choisissez Empêcher l’accès root par défaut* dans les options de politique. L’objet JSON de politique apparaît dans l’éditeur de stratégie.

  6. Choisissez Save (Enregistrer) pour enregistrer la stratégie de système de fichiers.

Les clients non anonymes peuvent obtenir un accès racine au système de fichiers via une stratégie basée sur l’identité. Lorsque vous associez la stratégie gérée AmazonElasticFileSystemClientFullAccess au rôle de la station de travail, IAM accorde l’accès racine à la station de travail en fonction de sa stratégie d’identité.

Pour activer l’accès racine à partir de la station de travail de gestion

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Créez un rôle pour Amazon EC2 appelé EFS-client-root-access. IAM crée un profil d’instance portant le même nom que le rôle EC2 que vous avez créé.

  3. Assignez la politique AWS gérée AmazonElasticFileSystemClientFullAccess au rôle EC2 que vous avez créé. Le contenu de cette stratégie est présenté ci-dessous.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientRootAccess",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:DescribeMountTargets"
            ],
            "Resource": "*"
        }
    ]
}

  4. Attachez le profil d’instance à l’instance EC2 que vous utilisez comme station de travail de gestion, comme décrit ci-dessous. Pour plus d’informations, veuillez consulter les informations relatives à l’attachement d’un rôle IAM à une instance dans le Guide de l’utilisateur Amazon EC2 pour les instances Linux.

    1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

    2. Dans le panneau de navigation, choisissez Instances.

    3. Choisissez l’instance. Pour Actions, choisissez Instance Settings (Paramètres d’instance), puis Attach/Replace IAM role (Attacher/Remplacer le rôle IAM).

    4. Sélectionnez le rôle IAM que vous avez créé lors de la première étape, EFS-client-root-access, puis choisissez Apply (Appliquer).

  5. Installez l’assistant de montage EFS sur la station de travail de gestion. Pour plus d'informations sur l'assistant de montage EFS et le amazon-efs-utils package, consultez. Installation du client Amazon EFS

  6. Montez le système de fichiers EFS sur la station de travail de gestion à l’aide de la commande suivante avec l’option iam mount.

    $ sudo mount -t efs -o tls,iam file-system-id:/ efs-mount-point

    Vous pouvez configurer l’instance Amazon EC2 pour qu’elle monte automatiquement le système de fichiers avec autorisation IAM. Pour en savoir plus sur le montage d’un système de fichiers EFS avec autorisation IAM, consultez Montage avec autorisation IAM.

Mise en cache des autorisations

Amazon EFS met en cache les autorisations de fichiers pendant une courte période. Par conséquent, un utilisateur dont l’accès a été récemment révoqué peut encore accéder à cet objet pendant une brève période.

Modification de la propriété d’un objet du système de fichiers

Amazon EFS applique l’attribut chown_restricted POSIX. Cela signifie que seul l’utilisateur racine peut modifier le propriétaire d’un objet du système de fichiers. L’utilisateur racine ou propriétaire peut modifier le groupe propriétaire d’un objet du système de fichiers. Cependant, à moins que l’utilisateur soit de type racine, le groupe ne peut être remplacé que par un groupe dont l’utilisateur propriétaire est un membre.

Points d’accès EFS

Un point d’accès applique un utilisateur, un groupe et un chemin d’accès du système de fichiers pour système d’exploitation à toute demande de système de fichiers effectuée à l’aide du point d’accès. L’utilisateur et le groupe du système d’exploitation du point d’accès remplacent toutes les informations d’identité fournies par le client NFS. Le chemin d’accès du système de fichiers est exposé au client en tant que répertoire racine du point d’accès. Cette approche garantit que chaque application utilise toujours l’identité correcte du système d’exploitation et le bon répertoire lors de l’accès à des ensembles de données basés sur des fichiers partagés. Les applications utilisant le point d’accès peuvent uniquement accéder aux données dans leur propre répertoire et en dessous. Pour plus d’informations sur les points d’accès, consultez Utilisation des points d’accès.