Práticas recomendadas ao usar o FSx para Windows File Server com o Amazon ECS - Amazon Elastic Container Service
Segurança e controles de acesso para o FSx para Windows File Server

Práticas recomendadas ao usar o FSx para Windows File Server com o Amazon ECS

Anote as práticas recomendadas a seguir ao usar o FSx para Windows File Server com o Amazon ECS.

Segurança e controles de acesso para o FSx para Windows File Server

O FSx para Windows File Server oferece os recursos de controle de acesso a seguir, usados para garantir que os dados armazenados em um sistema de arquivos do FSx para Windows File Server estejam seguros e acessíveis somente pelas aplicações que precisam deles.

Criptografia de dados para volumes do FSx para Windows File Server

O FSx para Windows File Server oferece suporte a duas formas de criptografia para sistemas de arquivos. São elas a criptografia de dados em trânsito e a criptografia em repouso. A criptografia de dados em trânsito é compatível com compartilhamentos de arquivos mapeados em uma instância de contêiner que seja compatível com o protocolo SMB 3.0 ou mais recente. A criptografia de dados em repouso é habilitada automaticamente ao criar um sistema de arquivos do Amazon FSx. O Amazon FSx criptografa automaticamente os dados em trânsito usando a criptografia SMB à medida que você acessa seu sistema de arquivos, sem a necessidade de modificar suas aplicações. Para obter mais informações, consulte Data encryption in Amazon FSx no Guia do usuário do Amazon FSx para Windows File Server.

Uso de ACLs do Windows para controle de acesso em nível de pasta

A instância do Windows para Amazon EC2 acessa os compartilhamentos de arquivos do Amazon FSx usando as credenciais do Active Directory. Ela usa listas de controle de acesso (ACLs) padrão do Windows para controle de acesso refinado em nível de arquivo e pasta. Você pode criar várias credenciais, cada uma para uma pasta específica dentro do compartilhamento que mapeia para uma tarefa específica.

No exemplo a seguir, a tarefa tem acesso à pasta App01 usando uma credencial salva no Secrets Manager. Seu nome do recurso da Amazon (ARN) é 1234.

"rootDirectory": "\\path\\to\\my\\data\App01",
"credentialsParameter": "arn-1234",
"domain": "corp.fullyqualified.com",

Em outro exemplo, uma tarefa tem acesso à pasta App02 usando uma credencial salva no Secrets Manager. Seu ARN é 6789.

"rootDirectory": "\\path\\to\\my\\data\App02",
"credentialsParameter": "arn-6789",
"domain": "corp.fullyqualified.com",