Amazon ECS での FSx for Windows File Server の使用に関するベストプラクティス
Amazon ECS で FSx for Windows File Server を使用する場合は以下のベストプラクティスに従うことをお勧めします。
FSx for Windows File Server のセキュリティとアクセス制御
FSx for Windows File Server には、FSx for Windows File Server ファイルシステムに保存されるデータのセキュリティを保証し、それを必要とするアプリケーションからのみアクセス可能とするために使用できる以下のアクセス制御機能があります。
FSx for Windows File Server ボリュームのデータ暗号化
FSx for Windows File Server は、2 つのファイルシステム向け暗号化形式をサポートしています。つまり、保管中および転送中のデータの暗号化です。転送中のデータの暗号化は、SMB プロトコル 3.0 以降をサポートするコンテナインスタンスにマップされたファイル共有でサポートされます。保管中のデータの暗号化は、Amazon FSx ファイルシステムの作成時に自動的に有効になります。Amazon FSx は、アプリケーションを変更することなくファイルシステムにアクセスする際に、SMB 暗号化を使用して転送中のデータを自動的に暗号化します。詳細については、「Amazon FSx for Windows File Server ユーザーガイド」の「Amazon FSx でのデータの暗号化」を参照してください。
フォルダレベルのアクセス制御に Windows ACL を使用する
Windows Amazon EC2 インスタンスは、Active Directory 認証情報を使用して Amazon FSx ファイル共有にアクセスします。きめ細かいファイルレベルおよびフォルダレベルのアクセス制御には、標準の Windows アクセス制御リスト (ACL) を使用します。複数の認証情報を作成でき、それぞれの認証情報は、特定のタスクに対応する共有内の特定のフォルダ向けとなります。
以下の例では、タスクは Secrets Manager に保存されている認証情報を使用してフォルダ App01 にアクセスできます。Amazon リソースネーム (ARN) は 1234 です。
"rootDirectory": "\\path\\to\\my\\data\App01", "credentialsParameter": "arn-1234", "domain": "corp.fullyqualified.com",
別の例では、タスクは Secrets Manager に保存されている認証情報を使用してフォルダ App02 にアクセスできます。その ARN は 6789 です。
"rootDirectory": "\\path\\to\\my\\data\App02", "credentialsParameter": "arn-6789", "domain": "corp.fullyqualified.com",
