Verwenden von VPC-Sicherheitsgruppen - Amazon Elastic File System
Quell-PortsSicherheitsüberlegungen für den NetzwerkzugriffErstellen von Sicherheitsgruppen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von VPC-Sicherheitsgruppen

Wenn Sie Amazon EFS verwenden, geben Sie VPC-Sicherheitsgruppen für Ihre EC2 Instances und Sicherheitsgruppen für die EFS-Mount-Ziele an, die dem Dateisystem zugeordnet sind. Eine Sicherheitsgruppe fungiert als Firewall, und die Regeln, die Sie hinzufügen, definieren den Datenfluss. In der Übung Erste Schritte haben Sie beim Start der EFS-Instance eine Sicherheitsgruppe erstellt. Dann haben Sie dem EFS-Mounting-Ziel eine weitere Sicherheitsgruppe (die Standardsicherheitsgruppe für Ihre Standard-VPC) zugeordnet. Dieser Ansatz funktioniert für die Übung Erste Schritte. Für ein Produktionssystem sollten Sie jedoch Sicherheitsgruppen mit minimalen Berechtigungen für die Verwendung mit Amazon EFS einrichten.

Sie können eingehenden und ausgehenden Datenverkehr für Ihr EFS-Dateisystem autorisieren. Dazu fügen Sie Regeln hinzu, die es EFS-Instances ermöglichen, über das Mount-Ziel mithilfe des NFS-Ports (Network File System) eine Verbindung zu Ihrem EFS-Dateisystem herzustellen.

  • Jede EC2 Instanz, die das Dateisystem mountet, muss über eine Sicherheitsgruppe mit einer Regel verfügen, die ausgehenden Zugriff auf das Mount-Ziel auf dem NFS-Port 2049 ermöglicht.

  • Das EFS-Mount-Ziel muss über eine Sicherheitsgruppe mit einer Regel verfügen, die eingehenden Zugriff auf den NFS-Port 2049 von jeder EC2 Instanz aus ermöglicht, auf der Sie das Dateisystem mounten möchten.

Die folgende Tabelle zeigt die spezifischen erforderlichen Sicherheitsgruppenregeln:

Sicherheitsgruppe Regeltyp Protocol (Protokoll) Port Quelle/Ziel
EC2 Instanz Ausgehend TCP 2049 Zielsicherheitsgruppe mounten
Mount-Ziel Eingehend TCP 2049 EC2 Sicherheitsgruppe der Instanz

Quellports für die Arbeit mit Amazon EFS

Um eine breite Palette von NFS-Klienten zu unterstützen, erlaubt Amazon EFS Verbindungen von jedem Quellport. Wenn Sie möchten, dass nur privilegierte Benutzer auf Amazon EFS zugreifen können, empfehlen wir die Verwendung der folgenden Client-Firewall-Regel. Verbinden Sie sich über SSH mit Ihrem Dateisystem und führen Sie den folgenden Befehl aus:

iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP

Mit diesem Befehl wird eine neue Regel am Beginn der OUTPUT-Kette (-I OUTPUT 1) eingefügt. Die Regel verhindert, dass ein unberechtigter Prozess (-m owner --uid-owner 1-4294967294), der keine Kernel-Rechte besitzt, eine Verbindung zum NFS-Port 2049 () öffnet. -m tcp -p tcp –dport 2049

Sicherheitsüberlegungen für den Netzwerkzugriff

Ein NFS-Client der Version 4.1 (NFSv4.1) kann ein Dateisystem nur mounten, wenn er eine Netzwerkverbindung zum NFS-Port (TCP-Port 2049) eines der Mount-Ziele des Dateisystems herstellen kann. Ebenso kann ein NFSv4 .1-Client beim Zugriff auf ein Dateisystem nur dann eine Benutzer- und Gruppen-ID angeben, wenn er diese Netzwerkverbindung herstellen kann.

Die Fähigkeit, diese Netzwerkverbindung herzustellen, wird durch eine Kombination der folgenden Faktoren festgelegt:

  • Von der VPC des Mounting-Ziels bereitgestellte Netzwerkisolierung – Den Mounting-Zielen von Dateisystemen dürfen keine öffentlichen IP-Adressen zugewiesen sein. Die einzigen Ziele, die Dateisysteme mounten können, sind die folgenden:

    • EC2 Amazon-Instances in der lokalen Amazon VPC

    • EC2 Instanzen sind verbunden VPCs

    • Lokale Server, die über ein AWS Virtual Private Network (VPN) mit AWS Direct Connect einer Amazon VPC verbunden sind

  • Netzwerkzugriffskontrolllisten (ACLs) für die VPC-Subnetze des Clients und der Mount-Ziele, für den Zugriff von außerhalb der Subnetze des Mount-Ziels — Um ein Dateisystem zu mounten, muss der Client in der Lage sein, eine TCP-Verbindung zum NFS-Port 2049 eines Mount-Ziels herzustellen und Rückverkehr zu empfangen.

  • Regeln der VPC-Sicherheitsgruppen des Clients und der Mount-Ziele für den gesamten Zugriff — Damit eine EC2 Instance ein Dateisystem mounten kann, müssen die folgenden Sicherheitsgruppenregeln gelten:

    • Das Dateisystem muss über ein Mount-Ziel verfügen, dessen Netzwerkschnittstelle über eine Sicherheitsgruppe mit einer Regel verfügt, die eingehende Verbindungen über den NFS-Port 2049 von der Instance aus ermöglicht. entweder nach IP-Adresse (CIDR-Bereich) oder nach Sicherheitsgruppe. Die Quelle der Sicherheitsgruppenregeln für eingehende Verbindungen auf dem NFS-Port für Netzwerkschnittstellen von Mounting-Zielen stellt ein wesentliches Element der Steuerung des Zugriffs auf Dateisysteme dar. Andere Regeln für eingehende Nachrichten als die für den NFS-Port 2049 und alle ausgehenden Regeln werden von Netzwerkschnittstellen nicht für Dateisystem-Mount-Ziele verwendet.

    • Die Mount-Instance muss über eine Netzwerkschnittstelle mit einer Sicherheitsgruppenregel verfügen, die ausgehende Verbindungen zum NFS-Port 2049 auf einem der Mount-Ziele des Dateisystems ermöglicht. Sie können ausgehende Verbindungen anhand von IP-Adressen (CIDR-Bereich) oder Sicherheitsgruppen aktivieren.

Weitere Informationen finden Sie unter Verwalten der Mountingziele.

Erstellen von Sicherheitsgruppen

So erstellen Sie Sicherheitsgruppen für EC2 Instances und EFS-Mount-Ziele

Im Folgenden finden Sie die allgemeinen Schritte, die Sie beim Erstellen der Sicherheitsgruppen für Amazon EFS ausführen werden. Anweisungen zum Erstellen der Sicherheitsgruppen finden Sie unter Erstellen einer Sicherheitsgruppe im Amazon VPC-Benutzerhandbuch.

  1. Erstellen Sie für Ihre EC2 Instances eine Sicherheitsgruppe mit den folgenden Regeln:

    • Eine Regel für eingehenden Datenverkehr, die eingehenden Zugriff über Secure Shell (SSH) auf Port 22 von Ihrer IP-Adresse oder Ihrem Netzwerk aus ermöglicht. Beschränken Sie optional die Quelladresse aus Sicherheitsgründen.

    • Eine ausgehende Regel, die ausgehenden Zugriff auf die Mount-Zielsicherheitsgruppe über den NFS-Port 2049 ermöglicht. Identifizieren Sie die Mount-Ziel-Sicherheitsgruppe als Ziel.

  2. Erstellen Sie für Ihr EFS-Mount-Ziel eine Sicherheitsgruppe mit den folgenden Regeln:

    • Eine Regel für eingehenden Datenverkehr, die den Zugriff auf den NFS-Port 2049 von der EC2 Sicherheitsgruppe aus ermöglicht. Identifizieren Sie die EC2 Sicherheitsgruppe als Quelle.

    Anmerkung

    Sie müssen keine ausgehende Regel hinzufügen, da die Standardregel für ausgehenden Datenverkehr den gesamten ausgehenden Datenverkehr zulässt.