針對 Amazon EC2執行個體和掛載目標使用VPC安全群組 - Amazon Elastic File System

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對 Amazon EC2執行個體和掛載目標使用VPC安全群組

使用 Amazon 時EFS,您可以為EC2執行個體指定 Amazon EC2 安全群組,並為與檔案系統相關聯的EFS掛載目標指定安全群組。安全群組會做為防火牆,且您新增的規則會定義流量。在入門練習中,您在啟動EC2執行個體時建立了一個安全群組。然後,您將另一個 與EFS掛載目標建立關聯 (即預設 的預設安全群組VPC)。這種方法適用於「入門」練習。不過,對於生產系統,您應該設定具有與 搭配使用之最低許可的安全群組EFS。

您可以授權EFS檔案系統的傳入和傳出存取權。若要這麼做,請新增規則,允許EC2執行個體使用網路EFS檔案系統 (NFS) 連接埠透過掛載目標連線至 Amazon 檔案系統。請依照下列步驟來建立和更新安全群組。

為EC2執行個體建立安全群組並掛載目標

  1. 在 中建立兩個安全群組VPC。

    如需指示,請參閱 Amazon VPC使用者指南 中的建立安全群組中的「建立安全群組」程序。

  2. 在 開啟 Amazon VPC管理主控台https://console.aws.amazon.com/vpc/,並驗證這些安全群組的預設規則。兩個安全群組應該只有讓流量離開的傳出規則。

更新安全群組的必要存取

  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 新增EC2安全群組的規則,以允許從任何主機使用 Secure Shell (SSH) 進行傳入存取。或者,限制 Source (來源) 地址。

    您不需要新增傳出規則,因為預設的傳出規則可讓所有流量離開。如果不是這種情況,您需要新增傳出規則,才能開啟NFS連接埠上的TCP連線,將掛載目標安全群組識別為目的地。

    如需指示,請參閱 Amazon VPC使用者指南 中的新增和移除規則

  3. 新增掛載目標的輸入和輸出規則。

    • 新增掛載目標安全群組的傳入規則,以允許來自EC2安全群組的傳入存取。識別EC2安全群組作為來源。

    • 新增傳出規則以開啟所有NFS連接埠上的TCP連線。將EC2安全群組識別為目的地。

    如需指示,請參閱 Amazon VPC使用者指南 中的新增和移除規則

  4. 驗證現在兩個安全群組皆授權傳入和傳出存取。

如需安全群組的詳細資訊,請參閱 Linux 執行個體 的 Amazon EC2安全群組