Considérations relatives à la sécurité pour l’accès réseau - Amazon Elastic File System

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives à la sécurité pour l’accès réseau

Un client NFS version 4.1 (NFSv4.1) ne peut monter un système de fichiers que s'il peut établir une connexion réseau avec le NFS port (TCPport 2049) de l'une des cibles de montage du système de fichiers. De même, un client NFSv4 .1 ne peut affirmer un identifiant d'utilisateur et de groupe lors de l'accès à un système de fichiers que s'il peut établir cette connexion réseau.

La possibilité d’établir une telle connexion réseau est régie par une combinaison des éléments suivants :

  • Isolation du réseau assurée par les cibles de montage VPC : les cibles de montage du système de fichiers ne peuvent pas être associées à des adresses IP publiques. Les seules cibles qui peuvent monter les systèmes de fichiers sont les suivantes :

    • EC2Instances Amazon dans l'Amazon local VPC

    • EC2instances connectées VPCs

    • Serveurs sur site connectés à un Amazon à VPC l'aide de AWS Direct Connect and an AWS Virtual Private Network () VPN

  • Listes de contrôle d'accès réseau (ACLs) pour les VPC sous-réseaux du client et des cibles de montage, pour l'accès depuis l'extérieur des sous-réseaux de la cible de montage — Pour monter un système de fichiers, le client doit être en mesure d'établir une TCP connexion au NFS port d'une cible de montage et de recevoir du trafic de retour.

  • Règles des groupes de VPC sécurité du client et des cibles de montage, pour tous les accès — Pour qu'une EC2 instance puisse monter un système de fichiers, les règles de groupe de sécurité suivantes doivent être en vigueur :

    • Le système de fichiers doit avoir une cible de montage dont l'interface réseau possède un groupe de sécurité doté d'une règle autorisant les connexions entrantes sur le NFS port depuis l'instance. Vous pouvez activer les connexions entrantes par adresse IP (CIDRplage) ou par groupe de sécurité. La source des règles de groupe de sécurité pour le NFS port entrant sur les interfaces réseau cibles à monter est un élément clé du contrôle d'accès au système de fichiers. Les règles entrantes autres que celles relatives au NFS port, et les règles sortantes, ne sont pas utilisées par les interfaces réseau pour les cibles de montage du système de fichiers.

    • L'instance de montage doit disposer d'une interface réseau dotée d'une règle de groupe de sécurité qui autorise les connexions sortantes au NFS port de l'une des cibles de montage du système de fichiers. Vous pouvez activer les connexions sortantes par adresse IP (CIDRplage) ou par groupe de sécurité.

Pour de plus amples informations, veuillez consulter Gérer des cibles de Montage.