Controllo degli accessi ai file system con Amazon VPC - Amazon FSx per Windows File Server
Gruppi di sicurezza Amazon VPCACL di rete Amazon VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi ai file system con Amazon VPC

È possibile accedere al file system Amazon FSx tramite un'interfaccia di rete elastica. Questa interfaccia di rete risiede nel cloud privato virtuale (VPC) basato sul servizio Amazon Virtual Private Cloud (Amazon VPC) che associ al tuo file system. Ti connetti al tuo file system Amazon FSx tramite il nome DNS (Domain Name Service). Il nome DNS viene mappato all'indirizzo IP privato dell'interfaccia di rete elastica del file system nel tuo VPC. Solo le risorse all'interno del VPC associato, le risorse collegate al VPC associato tramite AWS Direct Connect o VPN o le risorse all'interno di VPC peerizzati possono accedere all'interfaccia di rete del file system. Per ulteriori informazioni, consulta Cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC.

avvertimento

Non è necessario modificare o eliminare le interfacce elastiche di rete associate al file system. La modifica o l'eliminazione dell'interfaccia di rete può causare una perdita permanente della connessione tra il VPC e il file system.

FSx for Windows File Server supporta la condivisione VPC, che consente di visualizzare, creare, modificare ed eliminare risorse in una sottorete condivisa in un VPC di proprietà di un altro account. AWS Per ulteriori informazioni, consulta Utilizzo dei VPC condivisi nella Guida per l'utente di Amazon VPC.

Gruppi di sicurezza Amazon VPC

Per controllare ulteriormente il traffico di rete che attraversa le interfacce di rete elastiche del file system all'interno del VPC, utilizza i gruppi di sicurezza per limitare l'accesso ai file system. Un gruppo di sicurezza è un firewall a stato che controlla il traffico da e verso le interfacce di rete associate. In questo caso, la risorsa associata sono le interfacce di rete del file system.

Per utilizzare un gruppo di sicurezza per controllare l'accesso al file system Amazon FSx, aggiungi regole in entrata e in uscita. Le regole in entrata controllano il traffico in entrata e le regole in uscita controllano il traffico in uscita dal tuo file system. Assicurati di avere le regole del traffico di rete corrette nel tuo gruppo di sicurezza per mappare la condivisione di file del tuo file system Amazon FSx su una cartella sull'istanza di calcolo supportata.

Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta le regole del gruppo di sicurezza nella Guida per l'utente di Amazon EC2.

Per creare un gruppo di sicurezza per Amazon FSx

  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2.

  2. Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

  3. Scegliere Create Security Group (Crea un gruppo di sicurezza).

  4. Specificare un nome e una descrizione per il gruppo di sicurezza.

  5. Per VPC, scegli Amazon VPC associato al tuo file system per creare il gruppo di sicurezza all'interno di quel VPC.

  6. Aggiungi le seguenti regole per consentire il traffico di rete in uscita sulle seguenti porte:

    1. Per i gruppi di sicurezza VPC, il gruppo di sicurezza predefinito per il tuo Amazon VPC predefinito è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e gli ACL di rete VPC per le sottoreti in cui stai creando il file system FSx consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.

      Requisiti di configurazione delle porte FSx for Windows File Server per i gruppi di sicurezza VPC e gli ACL di rete per le sottoreti in cui viene creato il file system.

      Nella tabella seguente è indicato il ruolo di ciascuna porta.

      Protocollo

      Porte

      Ruolo

      TCP/UDP

      53

      Domain Name System (DNS)

      TCP/UDP

      88

      Autenticazione Kerberos

      TCP/UDP

      464

      Modifica/reimpostazione della password

      TCP/UDP

      389

      Lightweight Directory Access Protocol (LDAP)
      UDP 123

      Network Time Protocol (NTP)
      TCP 135

      Distributed Computing Environment/End Point Mapper (DCE/EPMAP)

      TCP

      445

      Condivisione di file SMB di Servizi directory

      TCP

      636

      Lightweight Directory Access Protocol su TLS/SSL (LDAPS)

      TCP

      3268

      Catalogo globale Microsoft

      TCP

      3269

      Microsoft Global Catalog tramite SSL

      TCP

      5985

      WinRM 2.0 (gestione remota di Microsoft Windows)

      TCP

      9389

      Servizi Web Microsoft AD DS, PowerShell

      TCP

      49152 - 65535

      Porte effimere per RPC
      Importante

      L'autorizzazione del traffico in uscita sulla porta TCP 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.

    2. Assicurati che queste regole del traffico siano rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio AD, server DNS, client FSx e amministratori FSx.

      Importante

      Sebbene i gruppi di sicurezza Amazon VPC richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall Windows e degli ACL di rete VPC richiedono che le porte siano aperte in entrambe le direzioni.

    Nota

    Se hai definito siti Active Directory, devi assicurarti che le sottoreti nel VPC associato al tuo file system Amazon FSx siano definite in un sito Active Directory e che non esistano conflitti tra le sottoreti del tuo VPC e le sottoreti negli altri siti. È possibile visualizzare e modificare queste impostazioni utilizzando lo snap-in MMC di Active Directory Sites and Services.

    Nota

    In alcuni casi, è possibile che le regole del gruppo di AWS Managed Microsoft AD sicurezza siano state modificate rispetto alle impostazioni predefinite. In tal caso, assicurati che questo gruppo di sicurezza disponga delle regole in entrata necessarie per consentire il traffico proveniente dal tuo file system Amazon FSx. Per ulteriori informazioni sulle regole in entrata richieste, consulta AWS Managed Microsoft AD Prerequisiti nella Guida all'amministrazione.AWS Directory Service

Ora che hai creato il tuo gruppo di sicurezza, puoi associarlo alle interfacce di rete elastiche del tuo file system Amazon FSx.

Per associare un gruppo di sicurezza al tuo file system Amazon FSx

  1. Apri la console Amazon FSx all'indirizzo https://console.aws.amazon.com/fsx/.

  2. Nella dashboard, scegli il tuo file system per visualizzarne i dettagli.

  3. Scegli la scheda Rete e sicurezza e scegli le interfacce di rete del tuo file system, ad esempio ENI-01234567890123456. Per i file system Single-AZ, vedrai un'unica interfaccia di rete. Per i file system Multi-AZ, vedrete un'interfaccia di rete nella sottorete Preferred e una nella sottorete Standby.

  4. Per ogni interfaccia di rete, scegli l'interfaccia di rete e in Azioni, scegli Cambia gruppi di sicurezza.

  5. Nella finestra di dialogo Modifica gruppi di sicurezza, scegli i gruppi di sicurezza da utilizzare e scegli Salva.

Impedisci l'accesso a un file system

Per impedire temporaneamente l'accesso di rete al file system da parte di tutti i client, è possibile rimuovere tutti i gruppi di sicurezza associati alle elastic network interface del file system e sostituirli con un gruppo privo di regole in entrata/in uscita.

ACL di rete Amazon VPC

Un'altra opzione per proteggere l'accesso al file system all'interno del VPC consiste nello stabilire elenchi di controllo degli accessi alla rete (ACL di rete). Gli ACL di rete sono separati dai gruppi di sicurezza, ma hanno funzionalità simili per aggiungere un ulteriore livello di sicurezza alle risorse del tuo VPC. Per ulteriori informazioni sugli ACL di rete, consulta gli ACL di rete nella Amazon VPC User Guide.