本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon VPC 的檔案系統存取控制
<a name="limit-access-security-groups"></a>

您可以透過彈性網路界面存取 Amazon FSx 檔案系統。此網路介面根據您與檔案系統建立關聯的 Amazon Virtual Private Cloud (Amazon VPC) 服務，位於虛擬私有雲端 (VPC) 中。您可以透過網域名稱服務 (DNS) 名稱連線至 Amazon FSx 檔案系統。DNS 名稱會映射至 VPC 中檔案系統彈性網路界面的私有 IP 地址。只有關聯 VPC 內的資源、透過 Direct Connect 或 VPN 與關聯 VPC 連線的資源，或對等 VPCs內的資源，才能存取檔案系統的網路界面。如需詳細資訊，請參閱《[Amazon VPC 使用者指南》中的什麼是](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) * Amazon VPC？。*

**警告**  
您不得修改或刪除與檔案系統相關聯的彈性網路界面 ()。修改或刪除網路界面可能會導致 VPC 和檔案系統之間的連線永久中斷。

FSx for Windows File Server 支援 VPC 共用，可讓您檢視、建立、修改和刪除另一個 AWS 帳戶所擁有之 VPC 中共用子網路中的資源。如需詳細資訊，請參閱*《Amazon VPC 使用者指南》*中的 [使用共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。

## Amazon VPC 安全群組
<a name="fsx-vpc-security-groups"></a>

 若要進一步控制透過 VPC 內檔案系統彈性網路界面的網路流量，請使用安全群組來限制對檔案系統的存取。*安全群組*是一種具狀態防火牆，可控制進出其相關聯網路介面的流量。在此情況下，相關聯的資源是您檔案系統的網路界面 ()。

 若要使用安全群組來控制對 Amazon FSx 檔案系統的存取，請新增傳入和傳出規則。傳入規則控制傳入流量，傳出規則控制來自檔案系統的傳出流量。請確定您的安全群組中有正確的網路流量規則，將 Amazon FSx 檔案系統的檔案共用映射至支援的運算執行個體上的資料夾。

如需安全群組規則的詳細資訊，請參閱《Amazon EC2 使用者指南》中的[安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules)。 *Amazon EC2 *

**建立 Amazon FSx 的安全群組**

1. 開啟位於 https：//[https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) 的 Amazon EC2 主控台。

1. 在導覽窗格中，選擇 **Security Groups** (安全群組)。

1. 選擇 **Create Security Group** (建立安全群組)。

1. 指定安全群組的名稱和描述。

1. 針對 **VPC**，選擇與檔案系統相關聯的 Amazon VPC，在該 VPC 內建立安全群組。

1. <a name="vpc-sg-step6"></a>新增下列規則，以允許下列連接埠上的傳出網路流量：

   1. 對於 **VPC 安全群組**，預設 Amazon VPC 的預設安全群組已新增至主控台中的檔案系統。請確定您建立 FSx 檔案系統之子網路的安全群組和 VPC 網路 ACLs 允許連接埠上的流量，並如下圖所示。  
![\[VPC 安全群組的 FSx for Windows File Server 連接埠組態需求，以及建立檔案系統之子網路的網路 ACLs。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)

      下表識別每個連接埠的角色。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/WindowsGuide/limit-access-security-groups.html)
**重要**  
單一可用區 2 和所有多可用區檔案系統部署需要允許 TCP 連接埠 9389 上的傳出流量。

   1. 請確定這些流量規則也會鏡像至套用至每個 AD 網域控制站、DNS 伺服器、FSx 用戶端和 FSx 管理員的防火牆。
**重要**  
雖然 Amazon VPC 安全群組要求僅以啟動網路流量的方向開啟連接埠，但大多數 Windows 防火牆和 VPC 網路 ACLs 要求雙向開啟連接埠。
**注意**  
 如果您已定義 Active Directory 網站，您必須確定與 Amazon FSx 檔案系統相關聯的 VPC 中的子網路已定義在 Active Directory 網站中，而且 VPC 中的子網路和其他站台中的子網路之間不存在衝突。您可以使用 Active Directory Sites and Services MMC Snap-in 檢視和變更這些設定。
**注意**  
在某些情況下，您可能已從預設設定修改安全 AWS Managed Microsoft AD 群組的規則。如果是這樣，請確定此安全群組具有必要的傳入規則，以允許來自 Amazon FSx 檔案系統的流量。如需所需傳入規則的詳細資訊，請參閱《 *AWS Directory Service 管理指南*》中的[AWS Managed Microsoft AD 先決條件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)。

現在您已建立安全群組 (Amazon FSx 檔案系統的彈性網路界面）。

**將安全群組與您的 Amazon FSx 檔案系統建立關聯**

1. 開啟位於 https：//[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 的 Amazon FSx 主控台。

1. 在儀表板上，選擇您的檔案系統以檢視其詳細資訊。

1. 選擇**網路與安全**索引標籤，然後選擇檔案系統的網路界面 （例如 **ENI-01234567890123456**)。對於單一可用區檔案系統，您會看到單一網路界面。對於多可用區域檔案系統，您會在偏好的子網路中看到一個網路界面，並在待命子網路中看到一個。

1. 針對每個網路界面，選擇網路界面，然後在**動作**中選擇**變更安全群組**。

1. 在**變更安全群組**對話方塊中，選擇要使用的安全群組，然後選擇**儲存**。

### 不允許存取檔案系統
<a name="disallow-access"></a>

 若要暫時禁止從所有用戶端存取檔案系統，您可以移除與檔案系統彈性網路界面相關聯的所有安全群組，並將其取代為沒有傳入/傳出規則的群組。

## Amazon VPC 網路 ACLs
<a name="limit-access-acl"></a>

保護 VPC 內檔案系統存取權的另一個選項是建立網路存取控制清單 （網路 ACLs)。網路 ACLs 與安全群組不同，但具有類似的功能，可為 VPC 中的資源新增額外的安全層。如需網路 ACLs 的詳細資訊，請參閱《Amazon VPC 使用者指南[》中的網路 ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html)。 **