Controle de acesso ao sistema de arquivos com a Amazon VPC - Servidor FSx de arquivos Amazon para Windows
Grupos VPC de segurança da AmazonVPCRede Amazon ACLs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso ao sistema de arquivos com a Amazon VPC

Você acessa seu sistema de FSx arquivos da Amazon por meio de uma interface de rede elástica. Essa interface de rede reside na nuvem privada virtual (VPC) com base no serviço Amazon Virtual Private Cloud (AmazonVPC) que você associa ao seu sistema de arquivos. Você se conecta ao seu sistema de FSx arquivos da Amazon por meio do nome Domain Name Service (DNS). O DNS nome é mapeado para o endereço IP privado da interface elastic network do sistema de arquivos em seuVPC. Somente recursos dentro do associadoVPC, recursos conectados ao associado VPC por AWS Direct Connect ouVPN, ou recursos dentro do peering, VPCs podem acessar a interface de rede do seu sistema de arquivos. Para obter mais informações, consulte O que é a AmazonVPC? no Guia do VPC usuário da Amazon.

Atenção

Você não deve modificar nem excluir as interfaces de rede elástica associadas ao seu sistema de arquivos. Modificar ou excluir a interface de rede pode causar uma perda permanente da conexão entre você VPC e seu sistema de arquivos.

FSxpara Windows, o File Server oferece suporte ao VPC compartilhamento, o que permite que você visualize, crie, modifique e exclua recursos em uma sub-rede compartilhada em uma de VPC propriedade de outra AWS conta. Para obter mais informações, consulte Trabalhando com o Shared VPCs no Guia VPC do usuário da Amazon.

Grupos VPC de segurança da Amazon

Para controlar ainda mais o tráfego de rede que passa pela (s) interface (s) elástica (s) de rede do seu sistema de arquivosVPC, use grupos de segurança para limitar o acesso aos seus sistemas de arquivos. Um grupo de segurança é um firewall com estado que controla o tráfego de e para suas interfaces de rede associadas. Nesse caso, o recurso associado é(são) a(s) interface(s) de rede do seu sistema de arquivos.

Para usar um grupo de segurança para controlar o acesso ao seu sistema de FSx arquivos da Amazon, adicione regras de entrada e saída. As regras de entrada controlam o tráfego de entrada e as regras de saída controlam o tráfego de saída do sistema de arquivos. Certifique-se de ter as regras de tráfego de rede corretas em seu grupo de segurança para mapear o compartilhamento de FSx arquivos do sistema de arquivos da Amazon em uma pasta na sua instância computacional compatível.

Para obter mais informações sobre regras de grupos de segurança, consulte Regras de grupos de segurança no Guia EC2 do usuário da Amazon.

Para criar um grupo de segurança para a Amazon FSx

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2.

  2. No painel de navegação, escolha Grupos de segurança.

  3. Escolha Create Security Group.

  4. Especifique um nome e uma descrição para o grupo de segurança.

  5. Para VPC, escolha a Amazon VPC associada ao seu sistema de arquivos para criar o grupo de segurança dentro desse sistemaVPC.

  6. Adicione as seguintes regras para permitir o tráfego de rede de saída nas seguintes portas:

    1. Para grupos VPC de segurança, o grupo de segurança padrão para sua Amazon padrão já VPC está adicionado ao seu sistema de arquivos no console. Certifique-se de que o grupo de segurança e a VPC rede ACLs da (s) sub-rede (s) em que você está criando seu sistema de FSx arquivos permitam tráfego nas portas e nas direções mostradas no diagrama a seguir.

      FSxpara requisitos de configuração de portas do Windows File Server para grupos de VPC segurança e rede ACLs para as sub-redes em que o sistema de arquivos está sendo criado.

      A tabela a seguir identifica o perfil de cada porta.

      Protocolo

      Portas

      Função

      TCP/UDP

      53

      Sistema de nomes de domínio (DNS)

      TCP/UDP

      88

      Autenticação de Kerberos

      TCP/UDP

      464

      Alterar/definir senha

      TCP/UDP

      389

      Protocolo leve de acesso a diretórios (LDAP)
      UDP 123

      Protocolo de horário de rede (NTP)
      TCP 135

      Ambiente de computação distribuída/Mapeador de pontos finais (DCE/EPMAP)

      TCP

      445

      Compartilhamento de SMB arquivos do Directory Services

      TCP

      636

      Protocolo leve de acesso a diretórios viaTLS/SSL(LDAPS)

      TCP

      3268

      Catálogo global da Microsoft

      TCP

      3269

      O catálogo global da Microsoft acabou SSL

      TCP

      5985

      WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)

      TCP

      9389

      Serviços Web do Microsoft AD DS, PowerShell

      TCP

      49152 – 65535

      Portas efêmeras para RPC
      Importante

      É necessário permitir o tráfego de saída na TCP porta 9389 para implantações de sistemas de arquivos Single-AZ 2 e todas as implantações de sistemas de arquivos Multi-AZ.

    2. Certifique-se de que essas regras de tráfego também sejam espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio, DNS servidores, FSx clientes e administradores do AD. FSx

      Importante

      Embora os grupos VPC de segurança da Amazon exijam que as portas sejam abertas somente na direção em que o tráfego de rede é iniciado, a maioria dos firewalls e VPC redes do Windows ACLs exige que as portas sejam abertas em ambas as direções.

    nota

    Se você tiver sites do Active Directory definidos, você deve ter certeza de que as sub-redes VPC associadas ao seu sistema de FSx arquivos da Amazon estejam definidas em um site do Active Directory e que não existam conflitos entre as sub-redes em seu VPC e as sub-redes em seus outros sites. Você pode visualizar e alterar essas configurações usando o MMC snap-in Serviços e Sites do Active Directory.

    nota

    Em alguns casos, você pode ter modificado as regras do grupo de segurança do AWS Managed Microsoft AD com base nas configurações padrão. Nesse caso, certifique-se de que esse grupo de segurança tenha as regras de entrada necessárias para permitir o tráfego do seu sistema de FSx arquivos da Amazon. Para obter mais informações sobre as regras de entrada necessárias, consulte Pré-requisitos do AWS Managed Microsoft AD no Guia de administração do AWS Directory Service .

Agora que você criou seu grupo de segurança, você pode associá-lo à (s) interface (s) de rede elástica do seu sistema de FSx arquivos Amazon.

Para associar um grupo de segurança ao seu sistema de FSx arquivos da Amazon

  1. Abra o FSx console da Amazon em https://console.aws.amazon.com/fsx/.

  2. No painel, escolha seu sistema de arquivos para visualizar seus detalhes.

  3. Escolha a guia Rede e Segurança e escolha as interfaces de rede do seu sistema de arquivos; por exemplo, ENI-01234567890123456. Para sistemas de arquivos single-AZ, você verá uma única interface de rede. Para sistemas de arquivos multi-AZ, você verá uma interface de rede na sub-rede preferencial e uma na sub-rede em espera.

  4. Para cada interface de rede, escolha a interface de rede e, em Ações, selecione Alterar grupos de segurança.

  5. Na caixa de diálogo Alterar grupos de segurança, escolha os grupos de segurança a serem usados e selecione Salvar.

Proibir acesso a um sistema de arquivos

Para impedir temporariamente o acesso de todos os clientes à rede ao sistema de arquivos, você pode remover todos os grupos de segurança associados às interfaces de rede elástica do sistema de arquivos e substituí-los por um grupo que não tenha regras de entrada/saída.

VPCRede Amazon ACLs

Outra opção para proteger o acesso ao sistema de arquivos dentro do seu VPC é estabelecer listas de controle de acesso à rede (redeACLs). ACLsAs redes são separadas dos grupos de segurança, mas têm uma funcionalidade semelhante para adicionar uma camada adicional de segurança aos recursos da suaVPC. Para obter mais informações sobre redeACLs, consulte Rede ACLs no Guia do VPC usuário da Amazon.