使用 Amazon 的檔案系統存取控制 VPC - Amazon FSx for Windows File Server
Amazon VPC 安全群組Amazon VPC 網路 ACLs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon 的檔案系統存取控制 VPC

您可以透過彈性網路界面存取 Amazon FSx 檔案系統。此網路介面根據您與檔案系統建立關聯的 Amazon Virtual Private Cloud (AmazonVPC) 服務,位於虛擬私有雲端 (VPC) 中。您可以透過網域名稱服務 (DNS) 名稱連線至 Amazon FSx 檔案系統。DNS 名稱會映射到 檔案系統彈性網路界面的私有 IP 地址VPC。只有關聯的 內的資源VPC、與 VPC AWS Direct Connect 或 相關聯的 連線的資源VPN,或對等的 內的資源,VPCs才能存取檔案系統的網路介面。如需詳細資訊,請參閱《Amazon 使用者指南》中的什麼是 AmazonVPC?。 VPC

警告

您不得修改或刪除與檔案系統相關聯的彈性網路界面 (s)。修改或刪除網路介面可能會導致 VPC和 檔案系統之間的連線永久中斷。

FSx for Windows File Server 支援VPC共用,可讓您檢視、建立、修改和刪除另一個 AWS 帳戶所VPC擁有之 中共用子網路中的資源。如需詳細資訊,請參閱《Amazon VPC使用者指南》中的使用共用VPCs

Amazon VPC 安全群組

若要進一步控制透過您 檔案系統 ( ) 內彈性網路界面的網路流量VPC,請使用安全群組來限制檔案系統的存取。安全群組是一種具狀態防火牆,可控制進出其相關聯網路介面的流量。在這種情況下,相關聯的資源是您檔案系統的網路界面 ()。

若要使用安全群組來控制對 Amazon FSx 檔案系統的存取,請新增傳入和傳出規則。傳入規則控制傳入流量,傳出規則控制來自檔案系統的傳出流量。請確定您的安全群組中有正確的網路流量規則,將 Amazon FSx 檔案系統的檔案共用對應至支援的運算執行個體上的資料夾。

如需安全群組規則的詳細資訊,請參閱《Amazon 使用者指南》中的安全群組規則 EC2

建立 Amazon 的安全群組 FSx

  1. https://console.aws.amazon.com/ec2 開啟 Amazon EC2主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)。

  4. 指定安全群組的名稱和描述。

  5. 針對 VPC,選擇與您檔案系統VPC相關聯的 Amazon,在該 中建立安全群組VPC。

  6. 新增下列規則,以允許下列連接埠上的傳出網路流量:

    1. 對於VPC安全群組,預設 Amazon 的預設安全群組VPC已新增至主控台中的檔案系統。請確定您建立FSx檔案系統ACLs之子網路的安全群組和VPC網路允許連接埠上的流量,並依照下圖所示的指示進行。

      FSx 適用於建立檔案系統之子網路VPC的安全群組和網路ACLs的 Windows File Server 連接埠組態需求。

      下表識別每個連接埠的角色。

      通訊協定

      連接埠

      角色

      TCP/UDP

      53

      網域名稱系統 (DNS)

      TCP/UDP

      88

      Kerberos 身分驗證

      TCP/UDP

      464

      變更/設定密碼

      TCP/UDP

      389

      輕量型目錄存取通訊協定 (LDAP)
      UDP 123

      網路時間通訊協定 (NTP)
      TCP 135

      分散式運算環境/端點映射器 (DCE / EPMAP)

      TCP

      445

      Directory Services SMB 檔案共用

      TCP

      636

      透過 TLS/SSL (LDAPS) 的輕量型目錄存取通訊協定

      TCP

      3268

      Microsoft Global Catalog

      TCP

      3269

      Microsoft Global Catalog over SSL

      TCP

      5985

      WinRM 2.0 (Microsoft Windows 遠端管理)

      TCP

      9389

      Microsoft AD DS Web Services、 PowerShell

      TCP

      49152 - 65535

      的偶發連接埠 RPC
      重要

      單一可用區 2 和所有多可用區檔案系統部署需要允許TCP連接埠 9389 上的傳出流量。

    2. 請確定這些流量規則也鏡像在適用於每個 AD 網域控制站、DNS伺服器、FSx用戶端和FSx管理員的防火牆上。

      重要

      雖然 Amazon VPC安全群組要求連接埠僅以啟動網路流量的方向開啟,但大多數 Windows 防火牆和VPC網路都ACLs要求連接埠雙向開啟。

    注意

    如果您已經定義 Active Directory 網站,則必須確定 中與您的 Amazon FSx 檔案系統VPC相關聯的子網路 (在 Active Directory 網站中定義),並且 (在) 中的子網路VPC與其他站台中的子網路之間不存在衝突。您可以使用 Active Directory 網站和服務MMC快照來檢視和變更這些設定。

    注意

    在某些情況下,您可能已從預設設定修改安全 AWS Managed Microsoft AD 群組的規則。若是如此,請確定此安全群組具有允許來自 Amazon FSx 檔案系統的流量所需的傳入規則。如需所需傳入規則的詳細資訊,請參閱 AWS Directory Service 管理指南中的AWS Managed Microsoft AD 先決條件

現在您已建立安全群組,您可以將其與 Amazon FSx 檔案系統的彈性網路界面 (Amazon File System) 建立關聯。

將安全群組與您的 Amazon FSx 檔案系統建立關聯

  1. 在 開啟 Amazon FSx主控台https://console.aws.amazon.com/fsx/

  2. 在儀表板上,選擇您的檔案系統以檢視其詳細資訊。

  3. 選擇網路與安全索引標籤,然後選擇檔案系統的網路界面 (例如 ENI-01234567890123456)。對於單一可用區檔案系統,您會看到單一網路界面。對於多可用區域檔案系統,您會在偏好的子網路中看到一個網路介面,並在待命子網路中看到一個。

  4. 針對每個網路介面,選擇網路介面,然後在動作中選擇變更安全群組

  5. 變更安全群組對話方塊中,選擇要使用的安全群組,然後選擇儲存

不允許存取檔案系統

若要暫時禁止從所有用戶端存取檔案系統,您可以移除與檔案系統彈性網路界面相關聯的所有安全群組,並將它們取代為沒有傳入/傳出規則的群組。

Amazon VPC 網路 ACLs

保護 內檔案系統存取權的另一個選項VPC是建立網路存取控制清單 (網路 ACLs)。網路與安全群組ACLs不同,但具有類似的功能,可為您的 中的資源新增額外的安全層VPC。如需網路 的詳細資訊ACLs,請參閱《Amazon 使用者指南》中的網路ACLs VPC