Considérations relatives à la sécurité pour l’accès réseau - Amazon Elastic File System

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives à la sécurité pour l’accès réseau

Un client NFS version 4.1 (NFSv4.1) ne peut monter un système de fichiers que s’il peut établir une connexion réseau vers le port NFS (TCP port 2049) de l’une des cibles de montage du système de fichiers. De même, un client NFSv4.1 ne peut faire valoir un ID de groupe et un ID d’utilisateur lors de l’accès à un système de fichiers que s’il peut établir cette connexion réseau.

La possibilité d’établir une telle connexion réseau est régie par une combinaison des éléments suivants :

  • Isolement réseau fourni par le VPC des cibles de montage – Les cibles de montage du système de fichiers ne peuvent pas être associées à des adresses IP publiques. Les seules cibles qui peuvent monter les systèmes de fichiers sont les suivantes :

    • Instances Amazon EC2 dans le VPC Amazon local

    • instances EC2 des VPC connectés

    • Serveurs sur site connectés à un Amazon VPC à AWS Direct Connect l'aide d' AWS Virtual Private Network un (VPN)

  • ACL réseau des sous-réseaux VPC du client et des cibles de montage pour l’accès depuis l’extérieur des sous-réseaux d’une cible de montage – Pour monter le système de fichiers, le client doit pouvoir établir une connexion TCP sur le port NFS d’une cible de montage et recevoir le trafic en retour.

  • Règles des groupes de sécurité VPC du client et des cibles de montage, pour tous les accès – Pour qu’une instance EC2 puisse monter un système de fichiers, les règles de groupe de sécurité suivantes doivent être en vigueur :

    • Le système de fichiers doit avoir une cible de montage dont l’interface réseau comporte un groupe de sécurité avec une règle permettant les connexions entrantes sur le port NFS à partir de l’instance. Vous pouvez activer les connexions entrantes par adresse IP (plage d’adresses CIDR) ou par groupe de sécurité. La source des règles du groupe de sécurité du port NFS entrant sur les interfaces réseau de cible de montage est un élément clé pour le contrôle d’accès des systèmes de fichiers. Les règles entrantes autres que celle du port NFS, et les règles sortantes, ne sont pas utilisées par les interfaces réseau pour les cibles de montage du système de fichier.

    • L’instance de montage doit avoir une interface réseau comportant une règle de groupe de sécurité permettant les connexions sortantes vers le port NFS sur l’une des cibles de montage du système de fichiers. Vous pouvez activer les connexions sortantes par adresse IP (plage d’adresses CIDR) ou par groupe de sécurité.

Pour plus d’informations, consultez Gérer des cibles de Montage.