Erstellen von Sicherheitsgruppen - Amazon Elastic File System

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Sicherheitsgruppen

Sowohl einer EC2 Amazon-Instance als auch einem Mount-Ziel sind Sicherheitsgruppen zugeordnet. Diese Sicherheitsgruppen fungieren als virtuelle Firewall zur Steuerung des Datenverkehrs zwischen ihnen. Wenn Sie bei der Erstellung eines Mount-Ziels keine Sicherheitsgruppe angeben, EFS ordnet Amazon ihr die Standardsicherheitsgruppe von VPC zu.

Um den Datenverkehr zwischen einer EC2 Instance und einem Mount-Ziel (und damit dem Dateisystem) zu ermöglichen, müssen Sie in diesen Sicherheitsgruppen die folgenden Regeln konfigurieren:

  • Die Sicherheitsgruppen, die Sie einem Mount-Ziel zuordnen, müssen allen EC2 Instances, auf denen Sie das Dateisystem mounten möchten, den eingehenden Zugriff auf das TCP Protokoll auf dem NFS Port ermöglichen.

  • Jede EC2 Instanz, die das Dateisystem mountet, muss über eine Sicherheitsgruppe verfügen, die ausgehenden Zugriff auf das Mount-Ziel am Port ermöglicht. NFS

Informationen zum Ändern der Sicherheitsgruppen, die den Mount-Zielen Ihrer EFS Dateisysteme zugeordnet sind, finden Sie unter. Verwalten der Mountingziele

Weitere Informationen zu Sicherheitsgruppen finden Sie unter EC2Amazon-Sicherheitsgruppen für Linux-Instances im EC2Amazon-Benutzerhandbuch.

Anmerkung

Der folgende Abschnitt ist spezifisch für Amazon EC2 und beschreibt, wie Sicherheitsgruppen erstellt werden, sodass Sie Secure Shell (SSH) verwenden können, um eine Verbindung zu allen Instances herzustellen, die EFS Amazon-Dateisysteme gemountet haben. Wenn Sie keine Verbindung SSH zu Ihren EC2 Amazon-Instances herstellen, können Sie diesen Abschnitt überspringen.

Sie können das verwenden AWS Management Console , um Sicherheitsgruppen in Ihrem zu erstellenVPC. Um Ihr EFS Amazon-Dateisystem mit Ihrer EC2 Amazon-Instance zu verbinden, müssen Sie zwei Sicherheitsgruppen erstellen: eine für Ihre EC2 Amazon-Instance und eine weitere für Ihr EFS Amazon-Mount-Ziel.

  1. Erstellen Sie zwei Sicherheitsgruppen in IhremVPC. Anweisungen finden Sie unter Erstellen einer Sicherheitsgruppe im VPCAmazon-Benutzerhandbuch.

  2. Überprüfen Sie in der VPC Konsole die Standardregeln für diese Sicherheitsgruppen. Beide Sicherheitsgruppen sollten nur über eine Regel verfügen, die ausgehenden Datenverkehr zulässt.

  3. Sie müssen wie folgt zusätzlichen Zugriff auf die Sicherheitsgruppen autorisieren:

    1. Fügen Sie der EC2 Sicherheitsgruppe eine Regel hinzu, um den SSH Zugriff auf die Instanz über Port 22 zu ermöglichen, wie im Folgenden dargestellt. Dies ist nützlich, wenn Sie planen, einen SSH Client zu verwenden, z. B. PuTTY um über eine Terminalschnittstelle eine Verbindung zu Ihrer EC2 Instanz herzustellen und diese zu verwalten. Optional können Sie die Adresse der Source (Quelle) einschränken.

      Anweisungen finden Sie unter Regeln zu einer Sicherheitsgruppe hinzufügen im VPCAmazon-Benutzerhandbuch.

    2. Fügen Sie der Mount-Ziel-Sicherheitsgruppe eine Regel hinzu, um eingehenden Zugriff von der EC2 Sicherheitsgruppe auf TCP Port 2049 zu ermöglichen. Die als Quelle zugewiesene Sicherheitsgruppe ist die Sicherheitsgruppe, die der Instanz zugeordnet ist. EC2

      Um die Sicherheitsgruppen anzuzeigen, die Ihren Dateisystem-Mount-Zielen zugeordnet sind, wählen Sie in der EFS Konsole auf der Seite mit den Dateisystem-Details die Registerkarte Netzwerk aus. Weitere Informationen finden Sie unter Verwalten der Mountingziele.

    Anmerkung

    Sie müssen keine ausgehende Regel hinzufügen, da die Standardausgangsregel jeden Datenverkehr nach außen zulässt. (Wenn Sie die Standardregel für ausgehenden Datenverkehr entfernen, müssen Sie eine ausgehende Regel hinzufügen, um eine TCP Verbindung über den NFS Port herzustellen, und die Sicherheitsgruppe für das Einhängen als Ziel angeben.)

  4. Überprüfen Sie, ob beide Sicherheitsgruppen jetzt den eingehenden und ausgehenden Zugriff erlauben, wie in diesem Abschnitt beschrieben.

Ein Beispiel, das zeigt, wie Sicherheitsgruppen mithilfe von erstellt werden AWS CLI, finden Sie unterSchritt 1: Ressourcen erstellen EC2.