翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon VPC を使用したファイルシステムアクセスコントロール
Amazon FSx ファイルシステムは、ファイルシステムに関連付ける Amazon VPC サービスに基づいて仮想プライベートクラウド (VPC) 内に存在する Elastic Network Interface を通してアクセスできます。Amazon FSx ファイルシステムにアクセスするには、ファイルシステムのネットワークインターフェイスにマッピングされる DNS 名を使用します。関連付けられた VPC 内のリソースまたはピアリングされた VPC のみが、ファイルシステムのネットワークインターフェイスにアクセスできます。詳細については、「*Amazon VPC ユーザーガイド*」の「[Amazon VPC とは](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。
**警告**
Amazon FSx Elastic Network Interface のネットワークインターフェイスを変更または削除しないでください。このネットワークインターフェイスを変更または削除すると、VPC とファイルシステムとの間の接続が完全に失われる可能性があります。
## Amazon VPC セキュリティグループ
VPC 内のファイルシステムのネットワークインターフェイスを通過するネットワークトラフィックをさらにコントロールするには、セキュリティグループを使用してファイルシステムへのアクセスを制限します。*セキュリティグループ* は、仮想ファイアウォールとして機能し、関連付けられたインスタンスへのトラフィックを管理します。この場合、関連付けられたリソースはファイルシステムのネットワークインターフェイスです。VPC セキュリティグループを使用して Lustre クライアントのネットワークトラフィックをコントロールします。
### EFA 対応セキュリティグループ
EFA 対応 FSx for Lustre を作成する場合は、まず EFA 対応セキュリティグループを作成し、ファイルシステムのセキュリティグループとして指定する必要があります。EFA にはセキュリティグループ自体とのインバウンドおよびアウトバウンドのトラフィックをすべて許可するセキュリティグループと、クライアントが異なるセキュリティグループにある場合は、クライアントのセキュリティグループが必要です。詳細については、*Amazon EC2 ユーザーガイド* の [ステップ 1: EFA 対応のセキュリティグループを準備する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security) を参照してください。
### インバウンドルールとアウトバンドルールを使用したアクセスのコントロール
セキュリティグループを使用して Amazon FSx ファイルシステムと Lustre クライアントへのアクセスをコントロールするには、インバウンドルール、およびファイルシステムと Lustre クライアントから送信されるトラフィックをコントロールするアウトバンドルールを追加します。Amazon FSx ファイルシステムのファイル共有を、サポートされているコンピューティングインスタンス上のフォルダーにマッピングするために、セキュリティグループに適切なネットワークトラフィックルールがあることを確認します。
セキュリティグループルールの詳細については、*Amazon EC2 ユーザーガイド*の「[セキュリティグループルール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html#security-group-rules)」を参照してください。
**Amazon FSx ファイルシステムのセキュリティグループを作成するには**
1. Amazon EC2 コンソール [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) を開きます。
1. ナビゲーションペインで、**[セキュリティグループ]** を選択します。
1. **[Create Security Group]** (セキュリティグループの作成) を選択します。
1. セキュリティグループの名前と説明を指定します。
1. **VPC** については、Amazon FSx ファイルシステムに関連付けられている VPC を選択し、その VPC 内にセキュリティグループを作成します。
1. **[Create]** (作成) を選択して、セキュリティグループを作成します。
次に、作成したセキュリティグループにインバウンドルールを追加して、FSx for Lustre ファイルサーバー間の Lustre トラフィックを有効にします。
**セキュリティグループへのインバウンドルールの追加**
1. 作成したセキュリティグループが選択されていない場合は、そのセキュリティグループを選択します。**[Actions]** (アクション) メニューで、**[Edit inbound rules]** (インバウンドルールの編集) を選択します。
1. 次のインバウンドルールを追加します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. **[Save]** (保存) をクリックして、新しいインバウンドルールを保存して適用します。
デフォルトでは、セキュリティグループルールは、すべてのアウトバウンドトラフィック (すべて、0.0.0.0/0) を許可します。セキュリティグループがすべてのアウトバウンドトラフィックを許可していない場合は、次のアウトバウンドルールをセキュリティグループに追加します。ルールでは、FSx for Lustre ファイルサーバーと Lustre クライアント間、および Lustre ファイルサーバー間のトラフィックが許可されます。
**セキュリティグループにアウトバウンドルールを追加するには**
1. インバウンドルールを追加したのと同じセキュリティグループを選択します。**[Actions]** (アクション) メニューで、**[Edit outbound rules]** (アウトバウンドルールの編集) を選択します。
1. 次のアウトバウンドルールを追加します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. **[Save]** (保存) を選択して、新しいアウトバウンドルールを保存して適用します。
**Amazon FSx ファイルシステムに関連付けられているセキュリティグループを関連付けるには**
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)で Amazon FSx コンソールを開きます。
1. コンソールダッシュボードで、ファイルシステムを選択して詳細を表示します。
1. **[ネットワークとセキュリティ]** タブで、**[ネットワークインターフェイス]** の下にある **[Amazon EC2 コンソール]** リンクをクリックし、ファイルシステムのすべてのネットワークインターフェイスを表示します。
1. ネットワークインターフェイスごとに、**[アクション]** で **[セキュリティグループを変更]** を選択します。
1. **[セキュリティグループの変更]** ダイアログボックスで、ネットワークインターフェイスに関連付けるセキュリティグループを選択します。
1. **[保存]** を選択します。
## Lustre クライアント VPC セキュリティグループのルール
VPC セキュリティグループを使用して、Lustre クライアントへのアクセスをコントロールします。これには、Lustre クライアントから送信されるトラフィックをコントロールするインバウンドルール、およびアウトバンドルールを追加します。Lustre トラフィックが Lustre クライアントと Amazon FSx ファイルシステム間を流れることができるように、セキュリティグループに適切なネットワークトラフィックルールがあることを確認してください。
Lustre クライアントに適用されるセキュリティグループに、次のインバウンドルールを追加します。
| タイプ | プロトコル | ポート範囲 | ソース | 説明 |
| --- | --- | --- | --- | --- |
| カスタム TCP ルール | TCP | 988 | [カスタム] を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 | Lustre クライアント間の Lustre トラフィックを許可する |
| カスタム TCP ルール | TCP | 988 | [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 | FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します |
| カスタム TCP ルール | TCP | 1018-1023 | [カスタム] を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 | Lustre クライアント間の Lustre トラフィックを許可する |
| カスタム TCP ルール | TCP | 1018-1023 | [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 | FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します |
Lustre クライアントに適用されるセキュリティグループに、次のアウトバウンドルールを追加します。
| タイプ | プロトコル | ポート範囲 | ソース | 説明 |
| --- | --- | --- | --- | --- |
| カスタム TCP ルール | TCP | 988 | [カスタム] を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 | Lustre クライアント間の Lustre トラフィックを許可する |
| カスタム TCP ルール | TCP | 988 | [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 | FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します |
| カスタム TCP ルール | TCP | 1018-1023 | [カスタム] を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 | Lustre クライアント間の Lustre トラフィックを許可する |
| カスタム TCP ルール | TCP | 1018-1023 | [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 | FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します |