Création de groupes de sécurité - Amazon Elastic File System

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de groupes de sécurité

Des groupes de sécurité sont associés à une EC2 instance Amazon et à une cible de montage. Ces groupes de sécurité font office de pare-feu virtuel contrôlant le trafic entre elles. Si vous ne fournissez pas de groupe de sécurité lors de la création d'une cible de montage, Amazon y EFS VPC associe le groupe de sécurité par défaut.

Quoi qu'il en soit, pour activer le trafic entre une EC2 instance et une cible de montage (et donc le système de fichiers), vous devez configurer les règles suivantes dans ces groupes de sécurité :

  • Les groupes de sécurité que vous associez à une cible de montage doivent autoriser l'accès entrant au TCP protocole sur le NFS port à partir de toutes les EC2 instances sur lesquelles vous souhaitez monter le système de fichiers.

  • Chaque EC2 instance qui monte le système de fichiers doit disposer d'un groupe de sécurité qui autorise l'accès sortant à la cible de montage sur le NFS port.

Pour modifier les groupes de sécurité associés aux cibles de montage de vos systèmes de EFS fichiers, consultezGérer des cibles de Montage.

Pour plus d'informations sur les groupes de sécurité, consultez la section Groupes EC2 de sécurité Amazon pour les instances Linux dans le guide de EC2 l'utilisateur Amazon.

Note

La section suivante est spécifique à Amazon EC2 et explique comment créer des groupes de sécurité afin que vous puissiez utiliser Secure Shell (SSH) pour vous connecter à toutes les instances sur lesquelles sont montés des systèmes de EFS fichiers Amazon. Si vous ne l'utilisez pas SSH pour vous connecter à vos EC2 instances Amazon, vous pouvez ignorer cette section.

Vous pouvez utiliser le AWS Management Console pour créer des groupes de sécurité dans votreVPC. Pour connecter votre système de EFS fichiers Amazon à votre EC2 instance Amazon, vous devez créer deux groupes de sécurité : un pour votre EC2 instance Amazon et un autre pour votre cible de EFS montage Amazon.

  1. Créez deux groupes de sécurité dans votreVPC. Pour obtenir des instructions, consultez la section Créer un groupe de sécurité dans le guide de VPC l'utilisateur Amazon.

  2. Dans la VPC console, vérifiez les règles par défaut pour ces groupes de sécurité. Les deux groupes de sécurité doivent avoir uniquement une règle sortante qui autorise le trafic en sortie.

  3. Vous devez autoriser un accès supplémentaire aux groupes de sécurité comme suit :

    1. Ajoutez une règle au groupe EC2 de sécurité pour autoriser l'SSHaccès à l'instance sur le port 22, comme indiqué ci-dessous. Cela est utile si vous prévoyez d'utiliser un SSH client, par exemple pour vous connecter PuTTY à votre EC2 instance et l'administrer via une interface de terminal. Vous pouvez éventuellement limiter l’adresse Source.

      Pour obtenir des instructions, consultez la section Ajouter des règles à un groupe de sécurité dans le guide de VPC l'utilisateur Amazon.

    2. Ajoutez une règle au groupe de sécurité cible de montage pour autoriser l'accès entrant depuis le groupe de EC2 sécurité sur le TCP port 2049. Le groupe de sécurité attribué en tant que source est le groupe de sécurité associé à l'EC2instance.

      Pour afficher les groupes de sécurité associés aux cibles de montage de vos systèmes de fichiers, dans la EFS console, sélectionnez l'onglet Réseau sur la page de détails du système de fichiers. Pour de plus amples informations, veuillez consulter Gérer des cibles de Montage.

    Note

    Vous n’avez pas besoin d’ajouter une règle sortante, car la règle sortante par défaut autorise tout le trafic en sortie. (Si vous supprimez la règle sortante par défaut, vous devez ajouter une règle sortante pour ouvrir une TCP connexion sur le NFS port et identifier le groupe de sécurité cible du montage comme destination.)

  4. Vérifiez que les deux groupes de sécurité autorisent maintenant l’accès entrant et l’accès sortant, comme décrit dans cette section.

Pour un exemple montrant comment créer des groupes de sécurité à l'aide du AWS CLI, voirÉtape 1 : Création de EC2 ressources.