Pertimbangan keamanan untuk akses jaringan - Sistem File Elastis Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan keamanan untuk akses jaringan

Klien NFS versi 4.1 (NFSv4.1) hanya dapat me-mount sistem file jika dapat membuat koneksi jaringan ke NFS port (TCPport 2049) dari salah satu target mount sistem file. Demikian pula, klien NFSv4 .1 hanya dapat menegaskan ID pengguna dan grup saat mengakses sistem file jika dapat membuat koneksi jaringan ini.

Apakah Anda dapat membuat koneksi jaringan ini diatur oleh kombinasi berikut ini:

  • Isolasi jaringan yang disediakan oleh target mount VPC — Target pemasangan sistem file tidak dapat memiliki alamat IP publik yang terkait dengannya. Satu-satunya target yang dapat me-mount sistem file adalah sebagai berikut:

    • EC2Contoh Amazon di Amazon lokal VPC

    • EC2contoh dalam terhubung VPCs

    • Server lokal yang terhubung ke Amazon VPC dengan menggunakan AWS Direct Connect dan AWS Virtual Private Network () VPN

  • Daftar kontrol akses jaringan (ACLs) untuk VPC subnet klien dan target mount, untuk akses dari luar subnet target mount — Untuk memasang sistem file, klien harus dapat membuat TCP koneksi ke NFS port target mount dan menerima lalu lintas kembali.

  • Aturan grup VPC keamanan klien dan mount target, untuk semua akses — Untuk EC2 instance yang memasang sistem file, aturan grup keamanan berikut harus berlaku:

    • Sistem file harus memiliki target mount yang antarmuka jaringannya memiliki grup keamanan dengan aturan yang memungkinkan koneksi masuk pada NFS port dari instance. Anda dapat mengaktifkan koneksi masuk baik dengan alamat IP (CIDRrentang) atau grup keamanan. Sumber aturan grup keamanan untuk NFS port masuk pada antarmuka jaringan target mount adalah elemen kunci dari kontrol akses sistem file. Aturan masuk selain yang untuk NFS port, dan aturan keluar apa pun, tidak digunakan oleh antarmuka jaringan untuk target pemasangan sistem file.

    • Instans pemasangan harus memiliki antarmuka jaringan dengan aturan grup keamanan yang memungkinkan koneksi keluar ke NFS port pada salah satu target pemasangan sistem file. Anda dapat mengaktifkan koneksi keluar baik dengan alamat IP (CIDRrentang) atau grup keamanan.

Untuk informasi selengkapnya, lihat Mengelola target mount.