ネットワークアクセスに関するセキュリティ上の考慮事項 - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ネットワークアクセスに関するセキュリティ上の考慮事項

NFS バージョン 4.1 (NFSv4.1) クライアントは、ファイルシステムのマウントターゲットの 1 つのNFSポート (TCPポート 2049) にネットワーク接続できる場合にのみ、ファイルシステムをマウントできます。同様に、NFSv4.1 クライアントは、ファイルシステムにアクセスするときに、このネットワーク接続を行うことができる場合にのみ、ユーザー ID とグループ ID をアサートできます。

このネットワーク接続を行うことができるかどうかは、以下の組み合わせによって管理されます。

  • マウントターゲットによって提供されるネットワーク分離 VPC- ファイルシステムマウントターゲットには、パブリック IP アドレスを関連付けることはできません。ファイルシステムをマウントできる唯一のターゲットは次のとおりです。

    • ローカル Amazon の Amazon EC2インスタンス VPC

    • EC2 接続された のインスタンス VPCs

    • AWS Direct Connect と AWS Virtual Private Network (VPN) VPCを使用して Amazon に接続されたオンプレミスサーバー

  • クライアントとマウントターゲットのVPCサブネットのネットワークアクセスコントロールリスト (ACLs)、マウントターゲットのサブネット外からのアクセス – ファイルシステムをマウントするには、クライアントがマウントターゲットのNFSポートTCPに接続してリターントラフィックを受信できる必要があります。

  • すべてのアクセスに対するクライアントおよびマウントターゲットVPCのセキュリティグループのルール — ファイルシステムをマウントするEC2インスタンスの場合、次のセキュリティグループルールを有効にする必要があります。

    • ファイルシステムには、ネットワークインターフェイスに、インスタンスからのNFSポートへのインバウンド接続を有効にするルールを持つセキュリティグループを持つマウントターゲットが必要です。インバウンド接続は、IP アドレス (CIDR 範囲) またはセキュリティグループのいずれかで有効にできます。マウントターゲットネットワークインターフェイスのインバウンドNFSポートのセキュリティグループルールのソースは、ファイルシステムアクセスコントロールの重要な要素です。NFS ポートの 以外のインバウンドルールやアウトバウンドルールは、ファイルシステムマウントターゲットのネットワークインターフェイスでは使用されません。

    • マウントインスタンスには、ファイルシステムのマウントターゲットの 1 つ上のNFSポートへのアウトバウンド接続を有効にするセキュリティグループルールを持つネットワークインターフェイスが必要です。IP アドレス (CIDR 範囲) またはセキュリティグループのいずれかでアウトバウンド接続を有効にすることができます。

詳細については、「マウントターゲットの管理」を参照してください。