Utilizzo dei gruppi di sicurezza VPC - Amazon Elastic File System
Porte di origineConsiderazioni relative alla sicurezza per l'accesso di reteCreazione dei gruppi di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei gruppi di sicurezza VPC

Quando usi Amazon EFS, specifichi gruppi di sicurezza VPC per le tue EC2 istanze e gruppi di sicurezza per gli obiettivi di montaggio EFS associati al file system. Un gruppo di sicurezza funge da firewall e le regole aggiunte definiscono il flusso di traffico. Nell'esercizio Guida introduttiva, hai creato un gruppo di sicurezza quando hai avviato l'istanza EFS. Ne è quindi stato associato un altro alla destinazione di montaggio EFS (ossia il gruppo di sicurezza di default della VPC). Questo approccio funziona per l'esercizio Getting started. Tuttavia, per un sistema di produzione, è necessario configurare gruppi di sicurezza con autorizzazioni minime da utilizzare con Amazon EFS.

È possibile autorizzare l'accesso in entrata e in uscita verso il file system EFS. A tale scopo, aggiungi regole che consentono alle istanze EFS di connettersi al file system EFS tramite la destinazione di montaggio utilizzando la porta NFS (Network File System).

  • Ogni EC2 istanza che installa il file system deve avere un gruppo di sicurezza con una regola che consenta l'accesso in uscita alla destinazione di montaggio sulla porta NFS 2049.

  • Il target di montaggio EFS deve disporre di un gruppo di sicurezza con una regola che consenta l'accesso in entrata sulla porta NFS 2049 da ogni EC2 istanza su cui si desidera montare il file system.

La tabella seguente mostra le regole specifiche del gruppo di sicurezza richieste:

Gruppo di sicurezza Tipo di regola Protocollo Porta Sorgente/destinazione
EC2 Istanza In uscita TCP 2049 Monta il gruppo di sicurezza di destinazione
Destinazione di montaggio In entrata TCP 2049 EC2 gruppo di sicurezza dell'istanza

Porte di origine per lavorare con Amazon EFS

Per supportare un'ampia gamma di client NFS, Amazon EFS consente connessioni da qualsiasi porta di origine. Se si richiede che solo gli utenti privilegiati possano accedere ad Amazon EFS, consigliamo di utilizzare le seguenti regole di firewall per il client. Connettiti al file system tramite SSH ed esegui questo comando:

iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP

Questo comando inserisce una nuova regola all'inizio della catena di OUTPUT (-I OUTPUT 1). La regola impedisce a qualsiasi processo non basato sul kernel (-m owner --uid-owner 1-4294967294) senza privilegi di aprire una connessione alla porta NFS 2049 (). -m tcp -p tcp –dport 2049

Considerazioni relative alla sicurezza per l'accesso di rete

Un client NFS versione 4.1 (NFSv4.1) può montare un file system solo se è in grado di stabilire una connessione di rete alla porta NFS (porta TCP 2049) di una delle destinazioni di montaggio del file system. Analogamente, un NFSv4 client.1 può affermare un ID utente e di gruppo quando accede a un file system solo se è in grado di effettuare questa connessione di rete.

La possibilità di attivare questa connessione di rete è disciplinata da una combinazione dei seguenti elementi:

  • Isolamento di rete fornito dalla VPC delle destinazioni di montaggio - Le destinazioni di montaggio del file system non possono avere indirizzi IP pubblici associati ad esse. Le uniche destinazioni su cui è possibile montare i file system sono le seguenti:

    • EC2 Istanze Amazon nell'Amazon VPC locale

    • EC2 istanze connesse VPCs

    • Server locali connessi a un Amazon VPC AWS Direct Connect tramite e Rete privata virtuale AWS una (VPN)

  • Liste di controllo dell'accesso alla rete (ACLs) per le sottoreti VPC del client e delle destinazioni di montaggio, per l'accesso dall'esterno delle sottoreti della destinazione di montaggio — Per montare un file system, il client deve essere in grado di stabilire una connessione TCP alla porta NFS 2049 di una destinazione di montaggio e ricevere il traffico di ritorno.

  • Regole dei gruppi di sicurezza VPC del client e delle destinazioni di montaggio, per tutti gli accessi: affinché un' EC2 istanza possa montare un file system, devono essere in vigore le seguenti regole del gruppo di sicurezza:

    • Il file system deve avere una destinazione di montaggio la cui interfaccia di rete disponga di un gruppo di sicurezza con una regola che abiliti le connessioni in entrata sulla porta NFS 2049 dall'istanza. È possibile abilitare le connessioni in entrata sulla base dell'indirizzo IP (intervallo CIDR) o del gruppo di sicurezza. L'origine delle regole del gruppo di sicurezza per le regole in ingresso sulla porta NFS dell'interfaccia di rete della destinazione di montaggio è un elemento chiave del controllo degli accessi al file system. Le regole in entrata diverse da quella per la porta NFS 2049 e tutte le regole in uscita non vengono utilizzate dalle interfacce di rete per le destinazioni di montaggio del file system.

    • L'istanza di montaggio deve avere un'interfaccia di rete con una regola del gruppo di sicurezza che abiliti le connessioni in uscita alla porta NFS 2049 su una delle destinazioni di montaggio del file system. È possibile abilitare le connessioni in uscita sulla base dell'indirizzo IP (intervallo CIDR) o del gruppo di sicurezza.

Per ulteriori informazioni, consulta Gestione dei target di montaggio.

Creazione dei gruppi di sicurezza

Per creare gruppi di sicurezza per EC2 istanze e destinazioni di montaggio EFS

Di seguito sono riportati i passaggi generali da eseguire durante la creazione dei gruppi di sicurezza per Amazon EFS. Per istruzioni sulla creazione dei gruppi di sicurezza, consulta Create a security group nella Amazon VPC User Guide.

  1. Per le tue EC2 istanze, crea un gruppo di sicurezza con le seguenti regole:

    • Una regola in entrata che consente l'accesso in entrata tramite Secure Shell (SSH) sulla porta 22 dal tuo indirizzo IP o dalla tua rete. Facoltativamente, limita l'indirizzo di origine per motivi di sicurezza.

    • Una regola in uscita che consente l'accesso in uscita sulla porta NFS 2049 al gruppo di sicurezza di destinazione del montaggio. Identifica il gruppo di sicurezza del target di montaggio come destinazione.

  2. Per il tuo target di montaggio EFS, crea un gruppo di sicurezza con le seguenti regole:

    • Una regola in entrata che consente l'accesso alla porta NFS 2049 dal gruppo di sicurezza. EC2 Identifica il gruppo EC2 di sicurezza come fonte.

    Nota

    Non è necessario aggiungere una regola in uscita perché la regola in uscita predefinita consente tutto il traffico in uscita.