EFS

•

2049 Port 인바운드로 EC2 SG 선택

•

efs access policy 최소 권한 설정

•

elasticfilesystem:ClientRootAccess Action은 root directory의 접근을 허용한다는 의미

"Condition": {
    "Bool": {
        "elasticfilesystem:AccessedViaMountTarget": "true"
    }
}
JSON
복사
위 condition은 mount target(vpc 내부에 있는 ENI를 통해 연결하려는 요청)을 허용하겠다는 의미임 → VPC 내부의 요청만 허용하겠다는 조건

권한 설정 후 re-mount가 필요하다.

•

All Access Policy

◦

HTTPS / TLS 기반의 연결만 허용

◦

VPC 내부의 EFS Mount Target을 통해서만 접근 허용

◦

지정된 EC2 Role을 가진 인스턴스는 이 EFS를 마운트하고, 쓰기/읽기/루트 접근 허용

{
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-67384a9c-0873-47c8-9efe-eebe4de8e355",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:362708816803:file-system/fs-0e74e865ada055dc7",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "false"
                }
            }
        },
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:362708816803:file-system/fs-0e74e865ada055dc7",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::362708816803:role/efs-attach-ec2-role"
            },
            "Action": [
                "elasticfilesystem:ClientRootAccess",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:362708816803:file-system/fs-0e74e865ada055dc7"
        }
    ]
}
JSON
복사

•

efs에 readonly access policy만 설정하고 mount 해서 테스트할때 사용

{
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-67384a9c-0873-47c8-9efe-eebe4de8e355",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::362708816803:role/efs-checker-role"
            },
            "Action": [
                "elasticfilesystem:ClientRootAccess",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:362708816803:file-system/fs-0e74e865ada055dc7"
        }
    ]
}
JSON
복사

•

efs에 read & write access policy만 설정하고 mount 해서 테스트할때 사용

{
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-67384a9c-0873-47c8-9efe-eebe4de8e355",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::362708816803:role/efs-checker-role"
            },
            "Action": [
                "elasticfilesystem:ClientRootAccess",
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite"
            ],
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:362708816803:file-system/fs-0e74e865ada055dc7"
        }
    ]
}
JSON
복사