• 2049 Port 인바운드로 EC2 SG 선택

• efs access policy 최소 권한 설정
• elasticfilesystem:ClientRootAccess Action은 root directory의 접근을 허용한다는 의미

"Condition": {
    "Bool": {
        "elasticfilesystem:AccessedViaMountTarget": "true"
    }
}

권한 설정 후 re-mount가 필요하다.

• All Access Policy
  • HTTPS / TLS 기반의 연결만 허용
  • VPC 내부의 EFS Mount Target을 통해서만 접근 허용
  • 지정된 EC2 Role을 가진 인스턴스는 이 EFS를 마운트하고, 쓰기/읽기/루트 접근 허용

{
    "Version": "2012-10-17",
    "Id": "efs-policy-wizard-67384a9c-0873-47c8-9efe-eebe4de8e355",
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:362708816803:file-system/fs-0e74e865ada055dc7",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:AccessedViaMountTarget": "false"
                }
            }
        },
        {
            "Effect": "Deny",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:362708816803:file-system/fs-0e74e865ada055dc7",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::362708816803:role/efs-attach-ec2-role"
            },
            "Action": [
                "elasticfilesystem:ClientRootAccess",
                "elasticfilesystem:ClientWrite",
                "elasticfilesystem:ClientMount"
            ],
            "Resource": "arn:aws:elasticfilesystem:ap-northeast-2:362708816803:file-system/fs-0e74e865ada055dc7"
        }
    ]
}