Consideraciones de seguridad para el acceso a la red - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones de seguridad para el acceso a la red

Un cliente de la NFS versión 4.1 (NFSv4.1) solo puede montar un sistema de archivos si puede establecer una conexión de red al NFS puerto (TCPpuerto 2049) de uno de los destinos de montaje del sistema de archivos. Del mismo modo, un cliente NFSv4 .1 solo puede utilizar un identificador de usuario y grupo al acceder a un sistema de archivos si puede establecer esta conexión de red.

La capacidad de realizar esta conexión de red se rige mediante una combinación de lo siguiente:

  • Aislamiento de red proporcionado por los objetivos de montajeVPC: los objetivos de montaje del sistema de archivos no pueden tener direcciones IP públicas asociadas a ellos. Los únicos destinos que pueden montar sistemas de archivos son los siguientes:

    • EC2Instancias de Amazon en el Amazon local VPC

    • EC2instancias conectadas VPCs

    • Servidores locales conectados a un Amazon VPC mediante AWS Direct Connect y un AWS Virtual Private Network () VPN

  • Listas de control de acceso a la red (ACLs) para VPC las subredes del cliente y los destinos de montaje, para acceder desde fuera de las subredes del objetivo de montaje: para montar un sistema de archivos, el cliente debe poder TCP conectarse al NFS puerto de un destino de montaje y recibir tráfico de retorno.

  • Reglas de los grupos de VPC seguridad del cliente y de los objetivos de montaje, para todos los accesos: para que una EC2 instancia monte un sistema de archivos, deben estar en vigor las siguientes reglas de los grupos de seguridad:

    • El sistema de archivos debe tener un destino de montaje cuya interfaz de red tenga un grupo de seguridad con una regla que permita las conexiones entrantes en el NFS puerto desde la instancia. Puede habilitar las conexiones entrantes por dirección IP (CIDRrango) o grupo de seguridad. El origen de las reglas del grupo de seguridad para el NFS puerto de entrada en las interfaces de red de destino montadas es un elemento clave del control de acceso al sistema de archivos. Las interfaces de red no utilizan reglas de entrada distintas de la del NFS puerto ni de salida para los destinos de montaje del sistema de archivos.

    • La instancia de montaje debe tener una interfaz de red con una regla de grupo de seguridad que permita las conexiones salientes al NFS puerto de uno de los destinos de montaje del sistema de archivos. Puede habilitar las conexiones salientes mediante una dirección IP (CIDRrango) o un grupo de seguridad.

Para obtener más información, consulte Administrar destinos de montaje.