Utilizzo dei gruppi di sicurezza VPC - Amazon Elastic File System
Porte di origineConsiderazioni relative alla sicurezza per l'accesso di reteCreazione dei gruppi di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei gruppi di sicurezza VPC

Quando usi Amazon EFS, specifichi gruppi di sicurezza VPC per le tue EC2 istanze e gruppi di sicurezza per gli obiettivi di montaggio EFS associati al file system. Un gruppo di sicurezza funge da firewall e le regole aggiunte definiscono il flusso di traffico. Nell'esercizio Guida introduttiva, hai creato un gruppo di sicurezza quando hai avviato l'istanza EFS. Ne è quindi stato associato un altro alla destinazione di montaggio EFS (ossia il gruppo di sicurezza di default della VPC). Questo approccio funziona per l'esercizio Getting started. Tuttavia, per un sistema di produzione, è necessario configurare gruppi di sicurezza con autorizzazioni minime da utilizzare con Amazon EFS.

È possibile autorizzare l'accesso in entrata e in uscita verso il file system EFS. A tale scopo, aggiungi regole che consentono alle istanze EFS di connettersi al file system EFS tramite la destinazione di montaggio utilizzando la porta NFS (Network File System).

  • Ogni EC2 istanza che installa il file system deve avere un gruppo di sicurezza con una regola che consenta l'accesso in uscita alla destinazione di montaggio sulla porta NFS.

  • Il target di montaggio EFS deve disporre di un gruppo di sicurezza con una regola che consenta l'accesso in entrata da ogni EC2 istanza su cui si desidera montare il file system.

Porte di origine per lavorare con Amazon EFS

Per supportare un'ampia gamma di client NFS, Amazon EFS consente connessioni da qualsiasi porta di origine. Se si richiede che solo gli utenti privilegiati possano accedere ad Amazon EFS, consigliamo di utilizzare le seguenti regole di firewall per il client. Connettiti al file system tramite SSH ed esegui questo comando:

iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP

Questo comando inserisce una nuova regola all'inizio della catena di OUTPUT (-I OUTPUT 1). La regola impedisce a qualsiasi processo non privilegiato e non-kernel (-m owner --uid-owner 1-4294967294) di aprire una connessione alla porta NFS (-m tcp -p tcp –dport 2049).

Considerazioni relative alla sicurezza per l'accesso di rete

Un client NFS versione 4.1 (NFSv4.1) può montare un file system solo se è in grado di stabilire una connessione di rete alla porta NFS (porta TCP 2049) di uno degli obiettivi di montaggio del file system. Analogamente, un NFSv4 client.1 può affermare un ID utente e di gruppo quando accede a un file system solo se è in grado di effettuare questa connessione di rete.

La possibilità di attivare questa connessione di rete è disciplinata da una combinazione dei seguenti elementi:

  • Isolamento di rete fornito dalla VPC delle destinazioni di montaggio - Le destinazioni di montaggio del file system non possono avere indirizzi IP pubblici associati ad esse. Le uniche destinazioni su cui è possibile montare i file system sono le seguenti:

    • EC2 Istanze Amazon nell'Amazon VPC locale

    • EC2 istanze connesse VPCs

    • Server locali connessi a un Amazon VPC AWS Direct Connect tramite e AWS Virtual Private Network una (VPN)

  • Liste di controllo dell'accesso alla rete (ACLs) per le sottoreti VPC del client e delle destinazioni di montaggio, per l'accesso dall'esterno delle sottoreti del target di montaggio — Per montare un file system, il client deve essere in grado di stabilire una connessione TCP alla porta NFS di una destinazione di montaggio e ricevere il traffico di ritorno.

  • Regole dei gruppi di sicurezza VPC del client e delle destinazioni di montaggio, per tutti gli accessi: affinché un' EC2 istanza possa montare un file system, devono essere in vigore le seguenti regole del gruppo di sicurezza:

    • Il file system deve disporre di una destinazione di montaggio la cui interfaccia di rete dispone di un gruppo di sicurezza con una regola che consente le connessioni in entrata sulla porta NFS dall'istanza. È possibile abilitare le connessioni in entrata sulla base dell'indirizzo IP (intervallo CIDR) o del gruppo di sicurezza. L'origine delle regole del gruppo di sicurezza per le regole in ingresso sulla porta NFS dell'interfaccia di rete della destinazione di montaggio è un elemento chiave del controllo degli accessi al file system. Le regole per il traffico in entrata diverse da quella sulla porta NFS e tutte le regole in uscita, non vengono utilizzate dalle interfacce di rete per le destinazioni di montaggio del file system.

    • L'istanza che esegue il montaggio del file system deve disporre di un'interfaccia di rete con una regola del gruppo di sicurezza che consente le connessioni in uscita verso la porta NFS su una delle destinazioni di montaggio del file system. È possibile abilitare le connessioni in uscita sulla base dell'indirizzo IP (intervallo CIDR) o del gruppo di sicurezza.

Per ulteriori informazioni, consulta Gestione dei target di montaggio.

Creazione dei gruppi di sicurezza

Per creare gruppi di sicurezza per EC2 istanze e destinazioni di montaggio EFS

Di seguito sono riportati i passaggi generali da eseguire durante la creazione dei gruppi di sicurezza per Amazon EFS. Per istruzioni sulla creazione dei gruppi di sicurezza, consulta Create a security group nella Amazon VPC User Guide.

  1. Per le tue EC2 istanze, crea un gruppo di sicurezza con le seguenti regole:

    • Una regola in entrata che consente l'accesso in entrata che consente l'utilizzo di Secure Shell (SSH) da qualsiasi host. Facoltativamente, è possibile limitare l'indirizzo Source (Origine).

    • Una regola in uscita che consente a tutto il traffico di uscire. Quando si crea un gruppo di sicurezza, per impostazione predefinita viene creato con una regola in uscita, quindi non è necessario aggiungerne uno.

  2. Per il tuo target di montaggio EFS, crea un gruppo di sicurezza con le seguenti regole:

    • Una regola in entrata che consente l'accesso dal gruppo EC2 di sicurezza. Identifica il gruppo EC2 di sicurezza come fonte.

    • Una regola in uscita per aprire la connessione TCP su tutte le porte NFS. Identifica il gruppo EC2 di sicurezza come destinazione.