Role aws efs acl set

1. efs 생성 및 iam policy 생성

###기본적으로 익명 엑세스 금지 시킨다.
{
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-b6169d4e-b44e-4b0b-a546-cfc7feecc316",
    "Statement": [
        {
            "Sid": "efs-statement-a1301634-04bd-4c71-89dc-565487623b0b",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "elasticfilesystem:ClientRootAccess",
                "elasticfilesystem:ClientWrite"
            ],
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:123456789012:file-system/fs-8a4bc4ea",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "true"
                }
            }
        },
# IAM Policy ARN정책으로 Principal 추가된 IAM ROLE 만 사용 가능 하게 등록한다.        
        {
            "Sid": "efs-statement-6ab25fa7-65a0-4678-a48f-3d24bc5560da",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/fendys-efs-role"
            },
            "Action": "elasticfilesystem:ClientMount",
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:528280837087:file-system/fs-8a4bc4ea"
        }
    ]
}

 

2.  fendys-efs-role 에 포함된 IAM fendys-efs-policy 내용

###fendys-efs-policy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:ClientMount",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientRootAccess"
            ],
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:528280837087:file-system/fs-8a4bc4ea"
        }
    ]
}

3. 해당 EC2의 IAM 정책에서 fendys-efs-role 권한을 가지거나 기존 권한에 fendys-efs-policy를 추가 해주면

해당 EC2에서는 efs가 가능 해진다.

4. mount 방법

# vi /etc/fstab -> 아래 내용 추가
fs-8a4bc4ea:/   /fendys-efs       efs    iam,tls,_netdev
# mount -a

mount 설정 및 확인

role & policy 미획득에 따른 access denied