Aws:ElasticFileSystem:ClientRootAccess
⚠️ この記事は最終更新から1年以上が経過しています。情報が古い可能性があるためご注意ください。
ClientRootAccessって何?
EFSでファイルシステムポリシーやRoleで以下のアクションを許可/拒否設定を入れると思いますが
「elasticfilesystem:ClientRootAccess」って何だろう?と思って調べてみました。
結論
「elasticfilesystem:ClientRootAccess」を付けないと、マウント元のOSの「nobody」or「nfsnobody」によって行われたかのように扱われます。
「nobody」or「nfsnobody」のどちらになるかはOS種別で変わるようで、検証したAmazonLinux2では「nfsnobody」となっています。
検証結果
下記環境を作成して検証しています。
結果は以下の通りで「root」で操作していますが「nfsnobody」でファイルが作成されました。
Aws/ElasticFileSystem/ClientRootAccess.txt · 最終更新: (外部編集)