Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de grupos de seguridad de VPC
Al utilizar Amazon EFS, debe especificar grupos de seguridad de VPC para sus EC2 instancias y grupos de seguridad para los destinos de montaje de EFS asociados al sistema de archivos. Un grupo de seguridad actúa como firewall y las reglas que agregue definen el flujo de tráfico. En el ejercicio de introducción, creó un grupo de seguridad al lanzar la instancia de EFS. A continuación, asoció otra con el destino de montaje de EFS (es decir, el grupo de seguridad predeterminado para la VPC predeterminada). Este enfoque funciona para el ejercicio de introducción. Sin embargo, para un sistema de producción, debe configurar grupos de seguridad con permisos mínimos para usarlos con Amazon EFS.
Puede autorizar el acceso de entrada y de salida a su sistema de archivos de EFS. Para ello, debe agregar reglas que permitan a las instancias de EFS conectarse al sistema de archivos EFS a través del destino de montaje mediante el puerto del Sistema de archivos de red (NFS).
-
Cada EC2 instancia que monte el sistema de archivos debe tener un grupo de seguridad con una regla que permita el acceso saliente al destino de montaje en el puerto NFS 2049.
-
El destino de montaje de EFS debe tener un grupo de seguridad con una regla que permita el acceso entrante al puerto NFS 2049 desde cada EC2 instancia en la que desee montar el sistema de archivos.
En la siguiente tabla se muestran las reglas específicas de los grupos de seguridad requeridas:
| Security Group | Tipo de regla | Protocolo | Puerto | Origen/Destino |
|---|---|---|---|---|
| EC2 Instancia | Salida | TCP | 2049 | Monta el grupo de seguridad de destino |
| Destino de montaje | Entrada | TCP | 2049 | EC2 grupo de seguridad de instancias |
Puertos de origen para trabajar con Amazon EFS
Para admitir un amplio conjunto de clientes NFS, Amazon EFS permite establecer conexiones desde cualquier puerto de origen. Si necesita que solo los usuarios con privilegios puedan acceder a Amazon EFS, le recomendamos que utilice la siguiente regla de firewall de cliente. Conéctese a su sistema de archivos mediante SSH y ejecute el siguiente comando:
iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP
Este comando inserta una nueva regla al inicio de la cadena OUTPUT (-I OUTPUT
1). La regla impide que cualquier proceso sin privilegios y ajeno al kernel (-m owner --uid-owner
1-4294967294) abra una conexión al puerto NFS 2049 (). -m tcp -p tcp –dport
2049
Consideraciones de seguridad para el acceso a la red
Un cliente NFS de la versión 4.1 (NFSv4.1) solo puede montar un sistema de archivos si puede establecer una conexión de red con el puerto NFS (puerto TCP 2049) de uno de los destinos de montaje del sistema de archivos. Del mismo modo, un cliente NFSv4 .1 solo puede utilizar un identificador de usuario y grupo al acceder a un sistema de archivos si puede establecer esta conexión de red.
La capacidad de realizar esta conexión de red se rige mediante una combinación de lo siguiente:
-
Aislamiento de red proporcionado por el VPC de los destinos de montaje: los destinos de montaje del sistema de archivos no pueden tener direcciones IP públicas asociadas a los mismos. Los únicos destinos que pueden montar sistemas de archivos son los siguientes:
-
EC2 Instancias de Amazon en la Amazon VPC local
-
EC2 instancias conectadas VPCs
-
Servidores locales conectados a una Amazon VPC AWS Direct Connect mediante AWS Virtual Private Network una (VPN)
-
-
Listas de control de acceso a la red (ACLs) para las subredes de VPC del cliente y los destinos de montaje, para acceder desde fuera de las subredes del objetivo de montaje: para montar un sistema de archivos, el cliente debe poder establecer una conexión TCP al puerto NFS 2049 de un destino de montaje y recibir tráfico de retorno.
-
Reglas de los grupos de seguridad de VPC del cliente y de los objetivos de montaje, para todos los accesos: para que EC2 una instancia monte un sistema de archivos, deben estar en vigor las siguientes reglas de los grupos de seguridad:
-
El sistema de archivos debe tener un destino de montaje cuya interfaz de red tenga un grupo de seguridad con una regla que permita las conexiones entrantes en el puerto NFS 2049 desde la instancia. Puede habilitar las conexiones entrantes ya sea por dirección IP (rango de CIDR) o grupo de seguridad. El origen de las reglas de grupo de seguridad en las interfaces de red del destino de montaje es un factor clave del control de acceso al sistema de archivos. Las interfaces de red no utilizan reglas de entrada distintas a la del puerto NFS 2049 ni ninguna regla de salida para los destinos de montaje del sistema de archivos.
-
La instancia de montaje debe tener una interfaz de red con una regla de grupo de seguridad que permita las conexiones salientes al puerto NFS 2049 en uno de los destinos de montaje del sistema de archivos. Puede habilitar las conexiones salientes ya sea por dirección IP (rango de CIDR) o grupo de seguridad.
-
Para obtener más información, consulte Administrar destinos de montaje.
Creación de grupos de seguridad
Para crear grupos de seguridad para EC2 instancias y destinos de montaje de EFS
Los siguientes son los pasos generales que debe realizar al crear los grupos de seguridad para Amazon EFS. Para obtener instrucciones sobre la creación de los grupos de seguridad, consulte Crear un grupo de seguridad en la Guía del usuario de Amazon VPC.
-
Para sus EC2 instancias, cree un grupo de seguridad con las siguientes reglas:
-
Una regla de entrada que permite el acceso entrante mediante Secure Shell (SSH) en el puerto 22 desde su dirección IP o red. Si lo desea, restrinja la dirección de origen por motivos de seguridad.
-
Una regla de salida que permite el acceso saliente por el puerto NFS 2049 al grupo de seguridad de destino montado. Identifique el grupo de seguridad de destino de montaje como destino.
-
-
Para su destino de montaje de EFS, cree un grupo de seguridad con las siguientes reglas:
-
Una regla de entrada que permita el acceso al puerto NFS 2049 desde el EC2 grupo de seguridad. Identifique el grupo EC2 de seguridad como origen.
nota
No es necesario agregar una regla de salida porque la regla de salida predeterminada permite todo el tráfico saliente.
-
