Considerazioni relative alla sicurezza per l'accesso di rete - Amazon Elastic File System

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni relative alla sicurezza per l'accesso di rete

Un client NFS versione 4.1 (NFSv4.1) può montare un file system solo se è in grado di stabilire una connessione di rete alla NFS porta (TCPporta 2049) di una delle destinazioni di montaggio del file system. Analogamente, un client NFSv4 .1 può affermare un ID utente e di gruppo quando accede a un file system solo se è in grado di effettuare questa connessione di rete.

La possibilità di attivare questa connessione di rete è disciplinata da una combinazione dei seguenti elementi:

  • Isolamento della rete fornito dalle destinazioni di montaggioVPC: alle destinazioni di montaggio del file system non possono essere associati indirizzi IP pubblici. Le uniche destinazioni su cui è possibile montare i file system sono le seguenti:

    • EC2Istanze Amazon nell'Amazon locale VPC

    • EC2istanze connesse VPCs

    • Server locali connessi a un Amazon VPC utilizzando AWS Direct Connect e un AWS Virtual Private Network () VPN

  • Liste di controllo dell'accesso alla rete (ACLs) per le VPC sottoreti del client e le destinazioni di montaggio, per l'accesso dall'esterno delle sottoreti del target di montaggio: per montare un file system, il client deve essere in grado di TCP stabilire una connessione alla NFS porta di un target di montaggio e ricevere il traffico di ritorno.

  • Regole dei gruppi di VPC sicurezza del client e delle destinazioni di montaggio, per tutti gli accessi: affinché un'EC2istanza possa montare un file system, devono essere in vigore le seguenti regole del gruppo di sicurezza:

    • Il file system deve disporre di una destinazione di montaggio la cui interfaccia di rete disponga di un gruppo di sicurezza con una regola che abiliti le connessioni in entrata sulla NFS porta dell'istanza. È possibile abilitare le connessioni in entrata tramite indirizzo IP (CIDRintervallo) o gruppo di sicurezza. L'origine delle regole del gruppo di sicurezza per la NFS porta in ingresso sulle interfacce di rete di destinazione di montaggio è un elemento chiave del controllo dell'accesso al file system. Le regole in entrata diverse da quella per la NFS porta e le eventuali regole in uscita non vengono utilizzate dalle interfacce di rete per le destinazioni di montaggio del file system.

    • L'istanza di montaggio deve disporre di un'interfaccia di rete con una regola del gruppo di sicurezza che abiliti le connessioni in uscita alla NFS porta su una delle destinazioni di montaggio del file system. È possibile abilitare le connessioni in uscita tramite indirizzo IP (CIDRintervallo) o gruppo di sicurezza.

Per ulteriori informazioni, consulta Gestione dei target di montaggio.