As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Considerações de segurança para o acesso à rede
Um cliente da NFS versão 4.1 (NFSv4.1) só pode montar um sistema de arquivos se puder fazer uma conexão de rede com a NFS porta (TCPporta 2049) de um dos destinos de montagem do sistema de arquivos. Da mesma forma, um cliente NFSv4 .1 só pode declarar uma ID de usuário e grupo ao acessar um sistema de arquivos se puder fazer essa conexão de rede.
A possibilidade de fazer essa conexão de rede é regida por uma combinação do seguinte:
-
Isolamento de rede fornecido pelos alvos de montagem VPC — Os destinos de montagem do sistema de arquivos não podem ter endereços IP públicos associados a eles. Os únicos destinos que podem montar sistemas de arquivos são os seguintes:
-
EC2Instâncias da Amazon na Amazon local VPC
-
EC2instâncias conectadas VPCs
-
Servidores locais conectados a uma Amazon VPC usando AWS Direct Connect e um AWS Virtual Private Network () VPN
-
-
Listas de controle de acesso à rede (ACLs) para as VPC sub-redes do cliente e dos destinos de montagem, para acesso de fora das sub-redes do alvo de montagem — Para montar um sistema de arquivos, o cliente deve ser capaz de fazer uma TCP conexão com a NFS porta de um destino de montagem e receber tráfego de retorno.
-
Regras dos grupos de VPC segurança do cliente e dos alvos de montagem, para todos os acessos — Para que uma EC2 instância monte um sistema de arquivos, as seguintes regras de grupo de segurança devem estar em vigor:
-
O sistema de arquivos deve ter um destino de montagem cuja interface de rede tenha um grupo de segurança com uma regra que permita conexões de entrada na NFS porta da instância. Você pode habilitar conexões de entrada por endereço IP (CIDRintervalo) ou grupo de segurança. A origem das regras do grupo de segurança para a NFS porta de entrada nas interfaces de rede de destino montadas é um elemento-chave do controle de acesso ao sistema de arquivos. As regras de entrada, exceto a da NFS porta, e quaisquer regras de saída, não são usadas pelas interfaces de rede para destinos de montagem do sistema de arquivos.
-
A instância de montagem deve ter uma interface de rede com uma regra de grupo de segurança que permita conexões de saída com a NFS porta em um dos destinos de montagem do sistema de arquivos. Você pode habilitar conexões de saída por endereço IP (CIDRintervalo) ou grupo de segurança.
-
Para obter mais informações, consulte Como gerenciar destinos da montagem.