Contrôle d'accès au système de fichiers avec Amazon VPC

Vous accédez à vos systèmes de fichiers et SVM Amazon FSx for NetApp ONTAP en utilisant le nom DNS ou l'adresse IP de l'un de leurs points de terminaison, selon le type d'accès. Le nom DNS correspond à l'adresse IP privée de l'interface Elastic network du système de fichiers ou de la SVM dans votre VPC. Seules les ressources du VPC associé, ou les ressources connectées au VPC associé par un VPN, peuvent accéder aux données de votre système de fichiers via les protocoles NFS, SMB AWS Direct Connect ou iSCSI. Pour plus d'informations, consultez Qu'est-ce qu'Amazon VPC ? dans le guide de l'utilisateur Amazon VPC.

Avertissement

Vous ne devez ni modifier ni supprimer les interfaces elastic network associées à votre système de fichiers. La modification ou la suppression de l'interface réseau peut entraîner une perte permanente de connexion entre votre VPC et votre système de fichiers.

Groupes de sécurité Amazon VPC

Un groupe de sécurité agit comme un pare-feu virtuel pour vos systèmes de fichiers FSx for ONTAP afin de contrôler le trafic entrant et sortant. Les règles entrantes contrôlent le trafic entrant vers votre système de fichiers, tandis que les règles sortantes contrôlent le trafic sortant de votre système de fichiers. Lorsque vous créez un système de fichiers, vous spécifiez le VPC dans lequel il est créé et le groupe de sécurité par défaut pour ce VPC est appliqué. Vous pouvez ajouter à chaque groupe de sécurité des règles qui autorisent le trafic à destination ou en provenance des systèmes de fichiers et des SVM associés. Vous pouvez modifier les règles pour un groupe de sécurité à la fois. Les règles nouvelles et modifiées sont automatiquement appliquées à toutes les ressources associées au groupe de sécurité. Lorsqu'Amazon FSx décide d'autoriser ou non le trafic à atteindre une ressource, il évalue toutes les règles de tous les groupes de sécurité associés à la ressource.

Pour utiliser un groupe de sécurité afin de contrôler l'accès à votre système de fichiers Amazon FSx, ajoutez des règles d'entrée et de sortie. Les règles entrantes contrôlent le trafic entrant, tandis que les règles sortantes contrôlent le trafic sortant de votre système de fichiers. Assurez-vous que vous disposez des bonnes règles de trafic réseau dans votre groupe de sécurité pour mapper le partage de fichiers de votre système de fichiers Amazon FSx à un dossier de votre instance de calcul prise en charge.

Pour plus d'informations sur les règles des groupes de sécurité, consultez la section Règles des groupes de sécurité dans le guide de l'utilisateur Amazon EC2.

Création d'un groupe de sécurité VPC

Pour créer un groupe de sécurité pour Amazon FSx

Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2.
Dans le panneau de navigation, choisissez Groupes de sécurité.
Sélectionnez Créer un groupe de sécurité.
Attribuez un nom et une description au groupe de sécurité.
Pour le VPC, choisissez l'Amazon VPC associé à votre système de fichiers pour créer le groupe de sécurité au sein de ce VPC.
Pour les règles de sortie, autorisez tout le trafic sur tous les ports.

Ajoutez les règles suivantes aux ports entrants de votre groupe de sécurité. Pour le champ source, vous devez choisir Personnalisé et saisir les groupes de sécurité ou les plages d'adresses IP associés aux instances qui doivent accéder à votre système de fichiers FSx for ONTAP, notamment :

Clients Linux, Windows et/ou macOS qui accèdent aux données de votre système de fichiers via NFS, SMB ou iSCSI.
Tous les systèmes de fichiers/clusters ONTAP que vous allez associer à votre système de fichiers (par exemple, pour les utiliser SnapMirror ou). SnapVault FlexCache
Tous les clients que vous utiliserez pour accéder à l'API ONTAP REST, à la CLI ou aux ZAPI (par exemple, une instance Harvest/Grafana, un connecteur ou BlueXP). NetApp NetApp

Protocole	Ports	Rôle
Tous les ICMP	Tous	Envoyer un ping à l'instance
SSH	22	Accès SSH à l'adresse IP du LIF de gestion du cluster ou d'un LIF de gestion des nœuds
TCP	111	Appel de procédure à distance pour NFS
TCP	135	Appel de procédure à distance pour CIFS
TCP	139	Session de service NetBIOS pour CIFS
TCP	161-162	Protocole de gestion réseau simple (SNMP)
TCP	443	Accès par API REST ONTAP à l'adresse IP du LIF de gestion du cluster ou d'un LIF de gestion de la SVM
TCP	445	Microsoft SMB/CIFS sur TCP avec cadrage NetBIOS
TCP	635	Montage NFS
TCP	749	Kerberos
TCP	2049	Démon de serveur NFS
TCP	3260	Accès iSCSI via le LIF de données iSCSI
TCP	4045	Démon de verrouillage NFS
TCP	4046	Moniteur d'état du réseau pour NFS
TCP	10 000	Protocole de gestion des données réseau (NDMP) et communication NetApp SnapMirror entre clusters
TCP	11104	Gestion de la NetApp SnapMirror communication entre clusters
TCP	11105	SnapMirror transfert de données à l'aide de LIFS interclusters
UDP	111	Appel de procédure à distance pour NFS
UDP	135	Appel de procédure à distance pour CIFS
UDP	137	Résolution de noms NetBIOS pour CIFS
UDP	139	Session de service NetBIOS pour CIFS
UDP	161-162	Protocole de gestion réseau simple (SNMP)
UDP	635	Montage NFS
UDP	2049	Démon de serveur NFS
UDP	4045	Démon de verrouillage NFS
UDP	4046	Moniteur d'état du réseau pour NFS
UDP	4049	Protocole de quotas NFS

Ajoutez le groupe de sécurité à l'interface elastic network du système de fichiers.

Interdire l'accès à un système de fichiers

Pour interdire temporairement à tous les clients l'accès réseau à votre système de fichiers, vous pouvez supprimer tous les groupes de sécurité associés aux interfaces Elastic Network de votre système de fichiers et les remplacer par un groupe dépourvu de règles entrantes/sortantes.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées

Validation de la conformité