[TIL] 18. Amazon EFS
wakakaEFSの全体像
wakakaEFSマウント時の「IAM認可」
EFSにおけるアクセス制御方式には以下の2種類がある。
- IAMとEFSファイルシステムポリシによる制御
- Linuxのディレクトリ・ファイルにおけるアクセス権
前者ではIAMポリシおよびEFSファイルシステムポリシを利用することで、ファイルシステム自体へのアクセスを制御することが可能である。アイデンティティベースとリソースベースのポリシでアクセス制御することは他リソースと同様だが、EFSにマウントする際の特殊な制御機能としてIAM認可がある。
IAM認可を設定しない場合には、EFSはIAM Principalを「匿名」として識別する。
= ECSなどのマウントする側のリソースがIAM権限を持つPrincipalとして扱われなくなる!
= IAMポリシの評価は行われず、ファイルシステムポリシ側でもIAMに応じた権限制御ができなくなる
[IAM 認可] オプションを設定すると、タスクロールに関連付けられたポリシーと Amazon EFS リソースベースのポリシーがマージされます。[IAM 認可] オプションは、このポリシーを持つタスクアイデンティティ (タスクロール) を Amazon EFS に渡します。この結果、Amazon EFS リソースベースのポリシーに、ポリシーで指定された IAM ユーザーまたはロールのコンテキストを入れることができます。このオプションを設定しない場合、Amazon EFS リソースレベルのポリシーは IAM ユーザーを「匿名」として識別します。
wakakaEFSファイルシステム復元時の注意点
AWS Backupを用いてバックアップしたEFSファイルシステムを復元する際には、以下のようにルートディレクトリ配下に作成されるaws-backup-restore_[datetime]に元の階層構造が保持される。
また、復元後のEFSファイルシステムに再度アクセスポイント経由で接続する場合には、新規ディレクトリが再度自動作成されることにも注意する。バックアップ断面に階層構造を戻すためにはaws-backup-restore_[datetime]配下のファイル群を移動するなどの処理が必要となる。
You can restore those items to either a new or existing file system. Either way, AWS Backup creates a new Amazon EFS directory (aws-backup-restore_datetime) off of the root directory to contain the items. The full hierarchy of the specified items is preserved in the recovery directory.