Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo degli accessi ai file system con Amazon VPC
È possibile accedere al file system Amazon FSx tramite un'interfaccia di rete elastica. Questa interfaccia di rete risiede nel cloud privato virtuale (VPC) basato sul servizio Amazon Virtual Private Cloud (Amazon VPC) che associ al tuo file system. Ti connetti al tuo file system Amazon FSx tramite il nome DNS (Domain Name Service). Il nome DNS viene mappato all'indirizzo IP privato dell'interfaccia di rete elastica del file system nel tuo VPC. Solo le risorse all'interno del VPC associato, le risorse collegate al VPC associato tramite AWS Direct Connect o VPN o le risorse all'interno di VPC peerizzati possono accedere all'interfaccia di rete del file system. Per ulteriori informazioni, consulta Cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC.
avvertimento
Non è necessario modificare o eliminare le interfacce elastiche di rete associate al file system. La modifica o l'eliminazione dell'interfaccia di rete può causare una perdita permanente della connessione tra il VPC e il file system.
FSx for Windows File Server supporta la condivisione VPC, che consente di visualizzare, creare, modificare ed eliminare risorse in una sottorete condivisa in un VPC di proprietà di un altro account. AWS Per ulteriori informazioni, consulta Utilizzo dei VPC condivisi nella Guida per l'utente di Amazon VPC.
Gruppi di sicurezza Amazon VPC
Per controllare ulteriormente il traffico di rete che attraversa le interfacce di rete elastiche del file system all'interno del VPC, utilizza i gruppi di sicurezza per limitare l'accesso ai file system. Un gruppo di sicurezza è un firewall a stato che controlla il traffico da e verso le interfacce di rete associate. In questo caso, la risorsa associata sono le interfacce di rete del file system.
Per utilizzare un gruppo di sicurezza per controllare l'accesso al file system Amazon FSx, aggiungi regole in entrata e in uscita. Le regole in entrata controllano il traffico in entrata e le regole in uscita controllano il traffico in uscita dal tuo file system. Assicurati di avere le regole del traffico di rete corrette nel tuo gruppo di sicurezza per mappare la condivisione di file del tuo file system Amazon FSx su una cartella sull'istanza di calcolo supportata.
Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta le regole del gruppo di sicurezza nella Guida per l'utente di Amazon EC2.
Per creare un gruppo di sicurezza per Amazon FSx
-
Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2.
-
Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
-
Scegliere Create Security Group (Crea un gruppo di sicurezza).
-
Specificare un nome e una descrizione per il gruppo di sicurezza.
-
Per VPC, scegli Amazon VPC associato al tuo file system per creare il gruppo di sicurezza all'interno di quel VPC.
-
Aggiungi le seguenti regole per consentire il traffico di rete in uscita sulle seguenti porte:
-
Per i gruppi di sicurezza VPC, il gruppo di sicurezza predefinito per il tuo Amazon VPC predefinito è già aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e gli ACL di rete VPC per le sottoreti in cui stai creando il file system FSx consentano il traffico sulle porte e nelle direzioni mostrate nel diagramma seguente.
Nella tabella seguente è indicato il ruolo di ciascuna porta.
Protocollo
Porte
Ruolo
TCP/UDP
53
Domain Name System (DNS)
TCP/UDP
88
Autenticazione Kerberos
TCP/UDP
464
Modifica/reimpostazione della password
TCP/UDP
389
Lightweight Directory Access Protocol (LDAP)
UDP 123 Network Time Protocol (NTP)
TCP 135 Distributed Computing Environment/End Point Mapper (DCE/EPMAP)
TCP
445
Condivisione di file SMB di Servizi directory
TCP
636
Lightweight Directory Access Protocol su TLS/SSL (LDAPS)
TCP
3268
Catalogo globale Microsoft
TCP
3269
Microsoft Global Catalog tramite SSL
TCP
5985
WinRM 2.0 (gestione remota di Microsoft Windows)
TCP
9389
Servizi Web Microsoft AD DS, PowerShell
TCP
49152 - 65535
Porte effimere per RPC
Importante
L'autorizzazione del traffico in uscita sulla porta TCP 9389 è necessaria per le implementazioni di file system Single-AZ 2 e Multi-AZ.
-
Assicurati che queste regole del traffico siano rispecchiate anche sui firewall che si applicano a ciascuno dei controller di dominio AD, server DNS, client FSx e amministratori FSx.
Importante
Sebbene i gruppi di sicurezza Amazon VPC richiedano l'apertura delle porte solo nella direzione di avvio del traffico di rete, la maggior parte dei firewall Windows e degli ACL di rete VPC richiedono che le porte siano aperte in entrambe le direzioni.
Nota
Se hai definito siti Active Directory, devi assicurarti che le sottoreti nel VPC associato al tuo file system Amazon FSx siano definite in un sito Active Directory e che non esistano conflitti tra le sottoreti del tuo VPC e le sottoreti negli altri siti. È possibile visualizzare e modificare queste impostazioni utilizzando lo snap-in MMC di Active Directory Sites and Services.
Nota
In alcuni casi, è possibile che le regole del gruppo di AWS Managed Microsoft AD sicurezza siano state modificate rispetto alle impostazioni predefinite. In tal caso, assicurati che questo gruppo di sicurezza disponga delle regole in entrata necessarie per consentire il traffico proveniente dal tuo file system Amazon FSx. Per ulteriori informazioni sulle regole in entrata richieste, consulta AWS Managed Microsoft AD Prerequisiti nella Guida all'amministrazione.AWS Directory Service
-
Ora che hai creato il tuo gruppo di sicurezza, puoi associarlo alle interfacce di rete elastiche del tuo file system Amazon FSx.
Per associare un gruppo di sicurezza al tuo file system Amazon FSx
-
Apri la console Amazon FSx all'indirizzo https://console.aws.amazon.com/fsx/.
-
Nella dashboard, scegli il tuo file system per visualizzarne i dettagli.
-
Scegli la scheda Rete e sicurezza e scegli le interfacce di rete del tuo file system, ad esempio ENI-01234567890123456. Per i file system Single-AZ, vedrai un'unica interfaccia di rete. Per i file system Multi-AZ, vedrete un'interfaccia di rete nella sottorete Preferred e una nella sottorete Standby.
-
Per ogni interfaccia di rete, scegli l'interfaccia di rete e in Azioni, scegli Cambia gruppi di sicurezza.
-
Nella finestra di dialogo Modifica gruppi di sicurezza, scegli i gruppi di sicurezza da utilizzare e scegli Salva.
Impedisci l'accesso a un file system
Per impedire temporaneamente l'accesso di rete al file system da parte di tutti i client, è possibile rimuovere tutti i gruppi di sicurezza associati alle elastic network interface del file system e sostituirli con un gruppo privo di regole in entrata/in uscita.
ACL di rete Amazon VPC
Un'altra opzione per proteggere l'accesso al file system all'interno del VPC consiste nello stabilire elenchi di controllo degli accessi alla rete (ACL di rete). Gli ACL di rete sono separati dai gruppi di sicurezza, ma hanno funzionalità simili per aggiungere un ulteriore livello di sicurezza alle risorse del tuo VPC. Per ulteriori informazioni sugli ACL di rete, consulta gli ACL di rete nella Amazon VPC User Guide.