Dateisystem-Zugriffskontrolle mit Amazon VPC - Amazon FSx für Windows-Dateiserver
VPCAmazon-SicherheitsgruppenVPCAmazon-Netzwerk ACLs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Dateisystem-Zugriffskontrolle mit Amazon VPC

Sie greifen über eine elastic network interface auf Ihr FSx Amazon-Dateisystem zu. Diese Netzwerkschnittstelle befindet sich in der Virtual Private Cloud (VPC), die auf dem Amazon Virtual Private Cloud (AmazonVPC) -Service basiert, den Sie mit Ihrem Dateisystem verknüpfen. Sie stellen über den Namen des Domain Name Service (DNS) eine Verbindung zu Ihrem FSx Amazon-Dateisystem her. Der DNS Name entspricht der privaten IP-Adresse der elastic network interface des Dateisystems in IhremVPC. Nur Ressourcen innerhalb des verknüpften SystemsVPC, Ressourcen, die über oder mit VPC dem zugehörigen verknüpft sindVPN, AWS Direct Connect oder Ressourcen innerhalb des Peered-Netzwerks VPCs können auf die Netzwerkschnittstelle Ihres Dateisystems zugreifen. Weitere Informationen finden Sie unter Was ist AmazonVPC? im VPCAmazon-Benutzerhandbuch.

Warnung

Sie dürfen die elastic network interface (n), die mit Ihrem Dateisystem verknüpft sind, nicht ändern oder löschen. Das Ändern oder Löschen der Netzwerkschnittstelle kann zu einem dauerhaften Verlust der Verbindung zwischen Ihrem VPC und Ihrem Dateisystem führen.

FSxfür Windows unterstützt File Server die VPC gemeinsame Nutzung, sodass Sie Ressourcen in einem gemeinsam genutzten Subnetz in einem VPC anderen AWS Konto anzeigen, erstellen, ändern und löschen können. Weitere Informationen finden Sie unter Arbeiten mit Shared VPCs im VPCAmazon-Benutzerhandbuch.

VPCAmazon-Sicherheitsgruppen

Um den Netzwerkverkehr, der über die elastic network interface (s) Ihres Dateisystems innerhalb Ihres Dateisystems fließt, weiter zu kontrollierenVPC, verwenden Sie Sicherheitsgruppen, um den Zugriff auf Ihre Dateisysteme einzuschränken. Eine Sicherheitsgruppe ist eine Stateful-Firewall, die den Verkehr zu und von den zugehörigen Netzwerkschnittstellen kontrolliert. In diesem Fall handelt es sich bei der zugehörigen Ressource um die Netzwerkschnittstelle (n) Ihres Dateisystems.

Um eine Sicherheitsgruppe zur Steuerung des Zugriffs auf Ihr FSx Amazon-Dateisystem zu verwenden, fügen Sie Regeln für eingehenden und ausgehenden Datenverkehr hinzu. Eingehende Regeln kontrollieren den eingehenden Verkehr, und ausgehende Regeln kontrollieren den ausgehenden Verkehr aus Ihrem Dateisystem. Stellen Sie sicher, dass Sie in Ihrer Sicherheitsgruppe über die richtigen Regeln für den Netzwerkverkehr verfügen, um die FSx Dateifreigabe Ihres Amazon-Dateisystems einem Ordner auf Ihrer unterstützten Compute-Instance zuzuordnen.

Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln im EC2Amazon-Benutzerhandbuch.

Um eine Sicherheitsgruppe für Amazon zu erstellen FSx

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie Create Security Group aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe an.

  5. Wählen Sie das Amazon aus VPC, das Ihrem Dateisystem VPC zugeordnet ist, um die Sicherheitsgruppe innerhalb dieses Dateisystems zu erstellenVPC.

  6. Fügen Sie die folgenden Regeln hinzu, um ausgehenden Netzwerkverkehr an den folgenden Ports zuzulassen:

    1. Bei VPCSicherheitsgruppen VPC ist die Standardsicherheitsgruppe für Ihr Standard-Amazon bereits zu Ihrem Dateisystem in der Konsole hinzugefügt. Bitte stellen Sie sicher, dass die Sicherheitsgruppe und das VPC Netzwerk ACLs für die Subnetze, in denen Sie Ihr FSx Dateisystem erstellen, Datenverkehr auf den Ports und in den Anweisungen zulassen, die in der folgenden Abbildung dargestellt sind.

      FSxfür die Anforderungen an die Portkonfiguration des Windows-Dateiservers für VPC Sicherheitsgruppen und das Netzwerk ACLs für die Subnetze, in denen das Dateisystem erstellt wird.

      In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.

      Protokoll

      Ports

      Rolle

      TCP/UDP

      53

      Domänennamensystem () DNS

      TCP/UDP

      88

      Kerberos-Authentifizierung

      TCP/UDP

      464

      Passwort ändern/festlegen

      TCP/UDP

      389

      Lightweight Directory Access Protocol (LDAP)
      UDP 123

      Netzwerkzeitprotokoll (NTP)
      TCP 135

      Verteilte Computerumgebung/End Point Mapper (DCE/EPMAP)

      TCP

      445

      SMBDateifreigabe durch Verzeichnisdienste

      TCP

      636

      Lightweight Directory Access Protocol überTLS/SSL(LDAPS)

      TCP

      3268

      Globaler Microsoft-Katalog

      TCP

      3269

      Microsoft Global Catalog vorbei SSL

      TCP

      5985

      WinRM 2.0 (Microsoft Windows-Fernverwaltung)

      TCP

      9389

      Microsoft AD DS-Webdienste, PowerShell

      TCP

      49152–65535

      Kurzlebige Ports für RPC
      Wichtig

      Für Single-AZ 2- und alle Multi-AZ-Dateisystembereitstellungen ist es erforderlich, ausgehenden Verkehr auf TCP Port 9389 zuzulassen.

    2. Stellen Sie sicher, dass diese Verkehrsregeln auch auf den Firewalls widergespiegelt werden, die für jeden AD-Domänencontroller, -Server, -Clients und -Administrator gelten. DNS FSx FSx

      Wichtig

      Während VPC Amazon-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, ACLs erfordern die meisten Windows-Firewalls und VPC Netzwerke, dass Ports in beide Richtungen geöffnet sind.

    Anmerkung

    Wenn Sie Active Directory-Standorte definiert haben, müssen Sie sicherstellen, dass die Subnetze in den mit Ihrem FSx Amazon-Dateisystem VPC verknüpften Subnetzen an einem Active Directory-Standort definiert sind und dass keine Konflikte zwischen den Subnetzen in Ihrem VPC und den Subnetzen an Ihren anderen Standorten bestehen. Sie können diese Einstellungen mithilfe des Snap-Ins „Active Directory-Standorte und -Dienste“ anzeigen und ändern. MMC

    Anmerkung

    In einigen Fällen haben Sie möglicherweise die Standardeinstellungen für die Regeln Ihrer AWS Managed Microsoft AD Sicherheitsgruppe geändert. Wenn ja, stellen Sie sicher, dass diese Sicherheitsgruppe über die erforderlichen Regeln für eingehenden Datenverkehr aus Ihrem FSx Amazon-Dateisystem verfügt. Weitere Informationen zu den erforderlichen Regeln für eingehenden Datenverkehr finden Sie unter AWS Managed Microsoft AD Voraussetzungen im AWS Directory Service Administratorhandbuch.

Nachdem Sie Ihre Sicherheitsgruppe erstellt haben, können Sie sie den elastic network interface Netzwerkschnittstellen Ihres FSx Amazon-Dateisystems zuordnen.

So verknüpfen Sie eine Sicherheitsgruppe mit Ihrem FSx Amazon-Dateisystem

  1. Öffnen Sie die FSx Amazon-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Wählen Sie im Dashboard Ihr Dateisystem aus, um dessen Details anzuzeigen.

  3. Wählen Sie die Registerkarte Netzwerk und Sicherheit und wählen Sie die Netzwerkschnittstelle (n) Ihres Dateisystems aus, z. B. ENI-01234567890123456. Bei Single-AZ-Dateisystemen sehen Sie eine einzige Netzwerkschnittstelle. Bei Multi-AZ-Dateisystemen sehen Sie eine Netzwerkschnittstelle im bevorzugten Subnetz und eine im Standby-Subnetz.

  4. Wählen Sie für jede Netzwerkschnittstelle die Netzwerkschnittstelle und dann unter Aktionen die Option Sicherheitsgruppen ändern aus.

  5. Wählen Sie im Dialogfeld „Sicherheitsgruppen ändern“ die zu verwendenden Sicherheitsgruppen aus und klicken Sie auf Speichern.

Zugriff auf ein Dateisystem verbieten

Um vorübergehend allen Clients den Netzwerkzugriff auf Ihr Dateisystem zu verbieten, können Sie alle Sicherheitsgruppen entfernen, die mit den elastic network interface Netzwerkschnittstellen Ihres Dateisystems verknüpft sind, und sie durch eine Gruppe ersetzen, die keine Regeln für eingehende/ausgehende Nachrichten hat.

VPCAmazon-Netzwerk ACLs

Eine weitere Möglichkeit, den Zugriff auf das Dateisystem in Ihrem System zu sichern, VPC besteht darin, Netzwerkzugriffskontrolllisten (NetzwerkACLs) einzurichten. Netzwerke ACLs sind von Sicherheitsgruppen getrennt, verfügen jedoch über ähnliche Funktionen, um den Ressourcen in Ihrem Netzwerk eine zusätzliche Sicherheitsebene hinzuzufügenVPC. Weitere Informationen zum Netzwerk ACLs finden Sie unter Netzwerk ACLs im VPCAmazon-Benutzerhandbuch.