Verwenden von VPC Sicherheitsgruppen für EC2 Amazon-Instances und Mount-Ziele - Amazon Elastic File System

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von VPC Sicherheitsgruppen für EC2 Amazon-Instances und Mount-Ziele

Wenn Sie Amazon verwendenEFS, geben Sie EC2 Amazon-Sicherheitsgruppen für Ihre EC2 Instances und Sicherheitsgruppen für die mit dem Dateisystem verknüpften EFS Mount-Ziele an. Eine Sicherheitsgruppe fungiert als Firewall, und die Regeln, die Sie hinzufügen, definieren den Datenfluss. In der Übung „Erste Schritte“ haben Sie beim Start der EC2 Instance eine Sicherheitsgruppe erstellt. Anschließend haben Sie dem EFS Mount-Ziel (d. h. der Standardsicherheitsgruppe für Ihre StandardsicherheitsgruppeVPC) eine weitere zugewiesen. Dieser Ansatz funktioniert für die „Erste Schritte“-Übung. Für ein Produktionssystem sollten Sie jedoch Sicherheitsgruppen mit minimalen Benutzerberechtigungen einrichtenEFS.

Sie können eingehenden und ausgehenden Zugriff auf Ihr EFS Dateisystem autorisieren. Dazu fügen Sie Regeln hinzu, die es Ihrer EC2 Instance ermöglichen, über das Mount-Ziel mithilfe des Network EFS File System (NFS) -Ports eine Verbindung zu Ihrem Amazon-Dateisystem herzustellen. Gehen Sie wie folgt vor, um Sicherheitsgruppen zu erstellen und zu aktualisieren.

Um Sicherheitsgruppen für EC2 Instances und Mount-Ziele zu erstellen

  1. Erstellen Sie zwei Sicherheitsgruppen in IhremVPC.

    Anweisungen finden Sie unter dem Verfahren „So erstellen Sie eine Sicherheitsgruppe“ unter Erstellen einer Sicherheitsgruppe im VPCAmazon-Benutzerhandbuch.

  2. Öffnen Sie die Amazon VPC Management Console unter https://console.aws.amazon.com/vpc/und überprüfen Sie die Standardregeln für diese Sicherheitsgruppen. Beide Sicherheitsgruppen sollten nur über eine Regel verfügen, die ausgehenden Datenverkehr zulässt.

So aktualisieren Sie den erforderlichen Zugriff für Ihre Sicherheitsgruppen:

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Fügen Sie eine Regel für Ihre EC2 Sicherheitsgruppe hinzu, um eingehenden Zugriff mit Secure Shell (SSH) von einem beliebigen Host aus zuzulassen. Optional können Sie die Adresse der Source (Quelle) beschränken.

    Sie müssen keine ausgehende Regel hinzufügen, da die Standardausgangsregel jeden Datenverkehr nach außen zulässt. Wäre dies nicht der Fall, müssten Sie eine Regel für ausgehenden Datenverkehr hinzufügen, um die TCP Verbindung auf dem NFS Port zu öffnen und dabei die Mount-Zielsicherheitsgruppe als Ziel zu identifizieren.

    Anweisungen finden Sie unter Regeln hinzufügen und entfernen im VPCAmazon-Benutzerhandbuch.

  3. Fügen der Mounting-Ziele für den gesamten eingehenden und ausgehenden Datenverkehr hinzu.

    • Fügen Sie eine Regel für eingehenden Datenverkehr für die Mount-Zielsicherheitsgruppe hinzu, um eingehenden Zugriff von der EC2 Sicherheitsgruppe aus zu ermöglichen. Identifizieren Sie die EC2 Sicherheitsgruppe als Quelle.

    • Fügen Sie eine Regel für ausgehenden Datenverkehr hinzu, um die TCP Verbindung an allen NFS Ports zu öffnen. Identifizieren Sie die EC2 Sicherheitsgruppe als Ziel.

    Anweisungen finden Sie unter Regeln hinzufügen und entfernen im VPCAmazon-Benutzerhandbuch.

  4. Überprüfen Sie, ob beide Sicherheitsgruppen jetzt Zugriff auf eingehenden und ausgehenden Datenverkehr autorisieren.

Weitere Informationen zu Sicherheitsgruppen finden Sie unter EC2Amazon-Sicherheitsgruppen für Linux-Instances.