使用 Amazon VPC 進行檔案系統存取控制 - Amazon FSx for Windows File Server
Amazon VPC 安全群組Amazon VPC 網路 ACL

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon VPC 進行檔案系統存取控制

您可以透過 elastic network interface 存取 Amazon FSx 檔案系統。此網路界面位於以您與檔案系統建立關聯之 Amazon Virtual Private Cloud (Amazon VPC) 服務為基礎的虛擬私有雲 (VPC) 中。您可以透過其網域名稱服務 (DNS) 名稱連線到 Amazon FSx 檔案系統。DNS 名稱會對應至 VPC 中檔案系統 elastic network interface 的私有 IP 位址。只有關聯 VPC 中的資源、與相關 VPC ( AWS Direct Connect 或 VPN) 連線的資源,或對等 VPC 內的資源,才能存取檔案系統的網路介面。如需詳細資訊,請參閱什麼是 Amazon VPC? 在 Amazon VPC 用戶指南中。

警告

您不得修改或刪除與檔案系統相關聯的 elastic network interface。修改或刪除網路介面可能會導致 VPC 與檔案系統之間的連線永久中斷。

FSx for Windows File Server 支援 VPC 共用,可讓您檢視、建立、修改和刪除其他帳戶所擁有的 VPC 中共用子網路中的資源。 AWS 如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 使用共享 VPC

Amazon VPC 安全群組

若要進一步控制透過 VPC 中檔案系統 elastic network interface 的網路流量,請使用安全群組來限制對檔案系統的存取。安全群組是可設定狀態的防火牆,可控制進出其相關聯網路介面的流量。在此情況下,關聯的資源就是檔案系統的網路介面。

若要使用安全群組控制對 Amazon FSx 檔案系統的存取,請新增輸入和輸出規則。輸入規則可控制傳入流量,而輸出規則則會控制來自檔案系統的傳出流量。確保安全群組中有正確的網路流量規則,以將 Amazon FSx 檔案系統的檔案共用對應到受支援運算執行個體上的資料夾。

如需有關安全群組規則的詳細資訊,請參閱 Amazon EC2 使用者指南中的安全群組規則

若要為 Amazon FSx 建立安全群組

  1. 在以下位置打開 Amazon EC2 控制台 https://console.aws.amazon.com/ec2

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)。

  4. 指定安全群組的名稱和描述。

  5. 對於虛擬私人雲端,請選擇與檔案系統關聯的 Amazon VPC,以在該 VPC 內建立安全群組。

  6. 新增下列規則,以允許下列通訊埠上的輸出網路流量:

    1. 對於 VPC 安全群組,預設 Amazon VPC 的預設安全群組已新增至主控台中的檔案系統。請確定您要建立 FSx 檔案系統之子網路的安全性群組和 VPC Network ACL 允許連接埠上的流量,並按照下圖所示的指示進行流量。

      FSx for Windows File Server 的連接埠組態需求,適用於建立檔案系統之子網路的 VPC 安全性群組和網路 ACL。

      下表識別每個連接埠的角色。

      通訊協定

      連接埠

      角色

      TCP/UDP

      53

      網域名稱系統 (DNS)

      TCP/UDP

      88

      Kerberos 身分驗證

      TCP/UDP

      464

      變更/設定密碼

      TCP/UDP

      389

      輕量型目錄存取通訊協定 (LDAP)
      UDP 123

      網路時間通訊協定 (NTP)
      TCP 135

      分散式運算環境/端點映射器 (DCE/EPMAP)

      TCP

      445

      目錄服務 SMB 檔案共用

      TCP

      636

      透過 TLS/SSL 的輕量型目錄存取通訊協定 (LDAPS)

      TCP

      3268

      Microsoft 全球編錄

      TCP

      3269

      通過 SSL Microsoft 全局類別目錄

      TCP

      5985

      Microsoft 視窗遠端管理

      TCP

      9389

      Microsoft AD DS 網絡服務 PowerShell

      TCP

      49152 - 65535

      適用於 RPC 的暫時性連接埠
      重要

      單一可用區 2 和所有異地同步備份檔案系統部署都需要在 TCP 連接埠 9389 上允許輸出流量。

    2. 請確定這些流量規則也會鏡像在套用至每個 AD 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 系統管理員的防火牆上。

      重要

      雖然 Amazon VPC 安全群組要求連接埠只能以網路流量起始的方向開啟,但大多數 Windows 防火牆和 VPC 人雲端網路 ACL 都要求連接埠雙向開啟。

    注意

    如果您已定義 Active Directory 站台,則必須確定 VPC 中與 Amazon FSx 檔案系統相關聯的子網路是在 Active Directory 站台中定義的,而且 VPC 中的子網路與其他站台中的子網路之間沒有衝突。您可以使用 [使用中的目錄站台和服務 MMC 嵌入式管理單元來檢視和變更這些設定。

    注意

    在某些情況下,您可能已經從預設設定中修改了 AWS Managed Microsoft AD 安全性群組的規則。如果是這樣,請確定此安全群組具有必要的輸入規則,以允許來自 Amazon FSx 檔案系統的流量。如需必要輸入規則的詳細資訊,請參閱《AWS Directory Service 管理指南》中的AWS Managed Microsoft AD 先決條件

現在您已經建立了安全群組,您可以將其與 Amazon FSx 檔案系統的 elastic network interface 建立關聯。

將安全群組與您的 Amazon FSx 檔案系統建立關聯

  1. 開啟 Amazon FSx 主控台,網址為 https://console.aws.amazon.com/fsx/

  2. 在儀表板上,選擇您的檔案系統以檢視其詳細資料。

  3. 選擇「網路與安全性」標籤,然後選擇檔案系統的網路介面,例如 ENI-01234567890123456。對於單一可用區檔案系統,您會看到單一網路介面。對於異地同步備份檔案系統,您會在首選子網路中看到一個網路介面,在待命子網路中看到一個網路介面。

  4. 針對每個網路介面,選擇網路介面,然後在動作中選擇變更安全性群組

  5. 在 [變更安全性群組] 對話方塊中,選擇要使用的安全性群組,然後選擇 [儲存]。

不允許存取檔案系統

若要暫時禁止從所有用戶端存取檔案系統的網路,您可以移除與檔案系統 elastic network interface 相關聯的所有安全性群組,並將其取代為沒有入站/輸出規則的群組。

Amazon VPC 網路 ACL

保護 VPC 內檔案系統存取的另一個選項是建立網路存取控制清單 (網路 ACL)。網路 ACL 與安全群組分開,但具有類似的功能,可為 VPC 中的資源增加額外的安全層。如需有關網路 ACL 的詳細資訊,請參閱 Amazon VPC 使用者指南中的網路 ACL