Dateisystem-Zugriffskontrolle mit Amazon VPC - Amazon FSx für Windows-Dateiserver
Amazon VPC-SicherheitsgruppenAmazon VPC-Netzwerk-ACLs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Dateisystem-Zugriffskontrolle mit Amazon VPC

Sie greifen über eine elastic network interface auf Ihr Amazon FSx-Dateisystem zu. Diese Netzwerkschnittstelle befindet sich in der Virtual Private Cloud (VPC), die auf dem Amazon Virtual Private Cloud (Amazon VPC) -Service basiert, den Sie mit Ihrem Dateisystem verknüpfen. Sie stellen über seinen Domain Name Service (DNS) -Namen eine Verbindung zu Ihrem Amazon FSx-Dateisystem her. Der DNS-Name ist der privaten IP-Adresse der elastic network interface des Dateisystems in Ihrer VPC zugeordnet. Nur Ressourcen innerhalb der zugehörigen VPC, Ressourcen, die über AWS Direct Connect oder VPN mit der zugehörigen VPC verbunden sind, oder Ressourcen innerhalb von Peer-VPCs können auf die Netzwerkschnittstelle Ihres Dateisystems zugreifen. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon VPC-Benutzerhandbuch.

Warnung

Sie dürfen die mit Ihrem Dateisystem verknüpften elastic network interface nicht ändern oder löschen. Das Ändern oder Löschen der Netzwerkschnittstelle kann zu einem dauerhaften Verbindungsverlust zwischen Ihrer VPC und Ihrem Dateisystem führen.

FSx for Windows File Server unterstützt VPC Sharing, wodurch Sie Ressourcen in einem gemeinsam genutzten Subnetz in einer VPC, die einem anderen Konto gehört, anzeigen, erstellen, ändern und löschen können. AWS Weitere Informationen finden Sie unter Arbeiten mit freigegebenen VPCs im Amazon VPC Benutzerhandbuch.

Amazon VPC-Sicherheitsgruppen

Um den Netzwerkverkehr, der über die elastic network interface Netzwerkschnittstellen Ihres Dateisystems innerhalb Ihrer VPC fließt, weiter zu kontrollieren, verwenden Sie Sicherheitsgruppen, um den Zugriff auf Ihre Dateisysteme einzuschränken. Eine Sicherheitsgruppe ist eine Stateful-Firewall, die den Datenverkehr zu und von den zugehörigen Netzwerkschnittstellen steuert. In diesem Fall handelt es sich bei der zugehörigen Ressource um die Netzwerkschnittstelle (n) Ihres Dateisystems.

Um eine Sicherheitsgruppe zur Steuerung des Zugriffs auf Ihr Amazon FSx-Dateisystem zu verwenden, fügen Sie Regeln für eingehenden und ausgehenden Datenverkehr hinzu. Eingehende Regeln kontrollieren den eingehenden Verkehr, und ausgehende Regeln kontrollieren den ausgehenden Verkehr aus Ihrem Dateisystem. Stellen Sie sicher, dass Sie die richtigen Regeln für den Netzwerkverkehr in Ihrer Sicherheitsgruppe haben, um die Dateifreigabe Ihres Amazon FSx-Dateisystems einem Ordner auf Ihrer unterstützten Compute-Instance zuzuordnen.

Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln im Amazon EC2 EC2-Benutzerhandbuch.

Um eine Sicherheitsgruppe für Amazon FSx zu erstellen

  1. Öffnen Sie die Amazon EC2 EC2-Konsole unter https://console.aws.amazon.com/ec2.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie Create Security Group aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe an.

  5. Wählen Sie für VPC die Amazon VPC aus, die Ihrem Dateisystem zugeordnet ist, um die Sicherheitsgruppe innerhalb dieser VPC zu erstellen.

  6. Fügen Sie die folgenden Regeln hinzu, um ausgehenden Netzwerkverkehr an den folgenden Ports zuzulassen:

    1. Für VPC-Sicherheitsgruppen ist die Standardsicherheitsgruppe für Ihre standardmäßige Amazon-VPC bereits zu Ihrem Dateisystem in der Konsole hinzugefügt. Bitte stellen Sie sicher, dass die Sicherheitsgruppe und die VPC-Netzwerk-ACLs für die Subnetze, in denen Sie Ihr FSx-Dateisystem erstellen, Datenverkehr auf den Ports und in den in der folgenden Abbildung gezeigten Anweisungen zulassen.

      FSx for Windows File Server-Portkonfigurationsanforderungen für VPC-Sicherheitsgruppen und Netzwerk-ACLs für die Subnetze, in denen das Dateisystem erstellt wird.

      In der folgenden Tabelle ist die Rolle der einzelnen Ports aufgeführt.

      Protokoll

      Ports

      Rolle

      TCP/UDP

      53

      Domain Name System (DNS)

      TCP/UDP

      88

      Kerberos-Authentifizierung

      TCP/UDP

      464

      Passwort ändern/festlegen

      TCP/UDP

      389

      Lightweight Directory Access Protocol (LDAP)
      UDP 123

      Network Time Protocol (NTP)
      TCP 135

      Distributed Computing Environment / End Point Mapper (DCE / EPMAP)

      TCP

      445

      Directory-Services-SMB-Dateifreigabe

      TCP

      636

      Lightweight Directory Access Protocol über TLS/SSL (LDAPS)

      TCP

      3268

      Globaler Microsoft-Katalog

      TCP

      3269

      Microsoft Global Catalog über SSL

      TCP

      5985

      WinRM 2.0 (Microsoft Windows-Fernverwaltung)

      TCP

      9389

      Microsoft AD DS-Webdienste, PowerShell

      TCP

      49152–65535

      Flüchtige Ports für RPC
      Wichtig

      Für Single-AZ 2- und alle Multi-AZ-Dateisystembereitstellungen ist es erforderlich, ausgehenden Verkehr auf TCP-Port 9389 zuzulassen.

    2. Stellen Sie sicher, dass diese Verkehrsregeln auch auf den Firewalls widergespiegelt werden, die für jeden der AD-Domänencontroller, DNS-Server, FSx-Clients und FSx-Administratoren gelten.

      Wichtig

      Während Amazon VPC-Sicherheitsgruppen verlangen, dass Ports nur in der Richtung geöffnet werden, in der der Netzwerkverkehr initiiert wird, erfordern die meisten Windows-Firewalls und VPC-Netzwerk-ACLs, dass Ports in beide Richtungen geöffnet sind.

    Anmerkung

    Wenn Sie Active Directory-Standorte definiert haben, müssen Sie sicherstellen, dass die Subnetze in der VPC, die Ihrem Amazon FSx-Dateisystem zugeordnet sind, an einem Active Directory-Standort definiert sind und dass keine Konflikte zwischen den Subnetzen in Ihrer VPC und den Subnetzen an Ihren anderen Standorten bestehen. Sie können diese Einstellungen mithilfe des MMC-Snap-Ins Active Directory-Standorte und -Dienste anzeigen und ändern.

    Anmerkung

    In einigen Fällen haben Sie möglicherweise die Standardeinstellungen für die Regeln Ihrer AWS Managed Microsoft AD Sicherheitsgruppe geändert. Falls ja, stellen Sie sicher, dass diese Sicherheitsgruppe über die erforderlichen Regeln für eingehenden Datenverkehr aus Ihrem Amazon FSx-Dateisystem verfügt. Weitere Informationen zu den erforderlichen Regeln für eingehenden Datenverkehr finden Sie unter AWS Managed Microsoft AD Voraussetzungen im AWS Directory Service Administratorhandbuch.

Nachdem Sie Ihre Sicherheitsgruppe erstellt haben, können Sie sie mit den elastic network interface Netzwerkschnittstellen Ihres Amazon FSx-Dateisystems verknüpfen.

Um Ihrem Amazon FSx-Dateisystem eine Sicherheitsgruppe zuzuordnen

  1. Öffnen Sie die Amazon FSx-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Wählen Sie im Dashboard Ihr Dateisystem aus, um dessen Details anzuzeigen.

  3. Wählen Sie die Registerkarte Netzwerk und Sicherheit und wählen Sie die Netzwerkschnittstelle (n) Ihres Dateisystems aus, z. B. ENI-01234567890123456. Bei Single-AZ-Dateisystemen sehen Sie eine einzige Netzwerkschnittstelle. Bei Multi-AZ-Dateisystemen sehen Sie eine Netzwerkschnittstelle im bevorzugten Subnetz und eine im Standby-Subnetz.

  4. Wählen Sie für jede Netzwerkschnittstelle die Netzwerkschnittstelle und dann unter Aktionen die Option Sicherheitsgruppen ändern aus.

  5. Wählen Sie im Dialogfeld „Sicherheitsgruppen ändern“ die zu verwendenden Sicherheitsgruppen aus und klicken Sie auf Speichern.

Zugriff auf ein Dateisystem verbieten

Um vorübergehend allen Clients den Netzwerkzugriff auf Ihr Dateisystem zu verbieten, können Sie alle Sicherheitsgruppen entfernen, die mit den elastic network interface Netzwerkschnittstellen Ihres Dateisystems verknüpft sind, und sie durch eine Gruppe ersetzen, die keine Regeln für eingehende/ausgehende Nachrichten hat.

Amazon VPC-Netzwerk-ACLs

Eine weitere Möglichkeit, den Zugriff auf das Dateisystem in Ihrer VPC zu sichern, besteht darin, Netzwerkzugriffskontrolllisten (Netzwerk-ACLs) einzurichten. Netzwerk-ACLs sind von Sicherheitsgruppen getrennt, verfügen jedoch über ähnliche Funktionen, um den Ressourcen in Ihrer VPC eine zusätzliche Sicherheitsebene hinzuzufügen. Weitere Informationen zu Netzwerk-ACLs finden Sie unter Netzwerk-ACLs im Amazon VPC-Benutzerhandbuch.