翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# NFS クライアントの EFS ファイルシステムへのネットワークアクセスのコントロール
<a name="NFS-access-control-efs"></a>

ネットワーク層セキュリティおよび EFS ファイルシステムポリシーを使用して、Amazon EFS ファイルシステムへの NFS クライアントによるアクセスを制御できます。VPC セキュリティグループルールやネットワーク ACL など、Amazon EC2 で使用できるネットワーク層セキュリティメカニズムを使用できます。 AWS IAM を使用して、EFS ファイルシステムポリシーとアイデンティティベースのポリシーで NFS アクセスを制御することもできます。

**Topics**
+ [

# VPC セキュリティグループを使用する
](network-access.md)
+ [

# Amazon EFS でのインターフェイス VPC エンドポイントの使用
](efs-vpc-endpoints.md)

# VPC セキュリティグループを使用する
<a name="network-access"></a>

Amazon EFS を使用する場合は、EC2 インスタンスの VPC セキュリティグループと、ファイルシステムに関連付けられている EFS マウントターゲットのセキュリティグループを指定します。セキュリティグループはファイアウォールとして機能し、追加するルールはトラフィックフローを定義します。「[使用開始の演習](getting-started.md)」では、EFS インスタンスを起動したときに 1 つのセキュリティグループを作成しました。次に、別のセキュリティグループを EFS マウントターゲット (デフォルト VPC のデフォルトのセキュリティグループ) に関連付けました。この方法は、「使用開始の演習」で機能します。ただし、本番稼働用システムでは、Amazon EFS で使用するための最小限のアクセス許可でセキュリティグループを設定する必要があります。

EFS ファイルシステムへのインバウンドおよびアウトバウンドのアクセスを許可できます。これを行うには、ネットワークファイルシステム (NFS) ポートを使用するマウントターゲット経由で EFS インスタンスが EFS ファイルシステムにアクセスできるようにルールを追加します。
+ ファイルシステムをマウントする各 EC2 インスタンスには、**NFS ポート 2049** 上のマウントターゲットへのアウトバウンドアクセスを許可するルールを含むセキュリティグループが必要です。
+ EFS マウントターゲットには、ファイルシステムをマウントする各 EC2 インスタンスからの NFS ポート 2049 へのインバウンドアクセスを許可するルールを持つセキュリティグループが必要です。

次の表は、ルールで必要な特定のセキュリティグループを示しています。


| セキュリティグループ | ルールタイプ | プロトコル | ポート | 送信元/送信先 | 
| --- | --- | --- | --- | --- | 
| EC2 インスタンス | アウトバウンド | TCP | 2049 | マウントターゲットセキュリティグループ | 
| マウントターゲット | インバウンド | TCP | 2049 | EC2 インスタンスのセキュリティグループ | 

## Amazon EFS で使用されるソースポート
<a name="source-ports"></a>

一連の NFS クライアントをサポートするために、Amazon EFS はソースポートからのすべての接続を許可します。権限のあるユーザーのみが Amazon EFS にアクセスできるようにするには、以下のクライアントのファイアウォールルールを使用することをお勧めします。SSH を使用してファイルシステムを接続し、次のコマンドを実行します。

```
iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP
```

このコマンドは、OUTPUT チェーン (`-I OUTPUT 1`) の開始時に新しいルールを挿入します。このルールにより、権限のない、非カーネルプロセス (`-m owner --uid-owner 1-4294967294`) が、NFS ポート 2049 (`-m tcp -p tcp –dport 2049`) への接続を開くことを防ぎます。

## ネットワークアクセスに関するセキュリティ上の考慮事項
<a name="sg-information"></a>

ファイルシステムのマウントターゲットの NFS ポート (TCP ポート 2049) の 1 つに接続できる場合にのみ、NFS バージョン 4.1 (NFSv4.1) クライアントはファイルシステムをマウントできます。同様に、このネットワーク接続ができる場合にのみ、NFSv 4.1 クライアントはファイルシステムにアクセスするときにユーザーおよびグループ ID をアサートできます。

このネットワーク接続を行うことができるかどうかは、以下の組み合わせによって管理されます。
+ **マウントターゲットの VPC によって提供されるネットワーク分離** – ファイルシステムのマウントターゲットにはパブリック IP アドレスを関連付けることはできません。ファイルシステムをマウントできる唯一のターゲットは次のとおりです。
  + ローカル Amazon VPC 内の Amazon EC2 インスタンス
  + 接続された VPC の EC2 インスタンス
  +  AWS Direct Connect と AWS Virtual Private Network (VPN) を使用して Amazon VPC に接続されたオンプレミスサーバー
+ **マウントターゲットのサブネット外からアクセスするための、クライアントおよびマウントターゲットの VPC サブネットのネットワークアクセスコントロールリスト (ACL)** – ファイルシステムをマウントするには、クライアントはマウントターゲットの NFS ポート 2049 への TCP 接続を確立できる必要があります。また、リターントラフィックを受信する必要があります。
+ **すべてのアクセス用のクライアントおよびマウントターゲットの VPC セキュリティグループのルール** - ファイルシステムをマウントする EC2 インスタンスの場合、次のセキュリティグループルールが有効である必要があります。
  +  ファイルシステムには、インスタンスからの NFS ポート 2049 でインバウンド接続を有効にするルールを持つセキュリティグループがネットワークインターフェイスにあるマウントターゲットが必要です。IP アドレス (CIDR 範囲) またはセキュリティグループのいずれかを使用してインバウンド接続を有効化できます。マウントターゲットネットワークインターフェイス上のインバウンド NFS ポートセキュリティグループルールのソースは、ファイルシステムのアクセスコントロールの重要な要素です。NFS ポート 2049 以外のインバウンドルール、およびどのようなアウトバウンドルールも、ファイルシステムのマウントターゲットネットワークインターフェイスには使用されません。
  +  インスタンスのマウントには、ファイルシステムのマウントターゲットのいずれかの NFS ポート 2049 へのアウトバウンド接続を有効にするセキュリティグループルールがあるネットワークインターフェイスが必要です。IP アドレス (CIDR 範囲) またはセキュリティグループのいずれかを使用してアウトバウンド接続を有効化できます。

詳細については、「[マウントターゲットの管理](accessing-fs.md)」を参照してください。

## セキュリティグループの作成
<a name="security-group-create"></a>

**EC2 インスタンスと EFS マウントターゲットのセキュリティグループを作成するには**

以下は、Amazon EFS のセキュリティグループを作成する際に実行する一般的な手順です。セキュリティグループの作成の詳細については、「*Amazon VPC ユーザーガイド*」の「[セキュリティグループの作成](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)」を参照してください。

1. EC2 インスタンス向けに、以下のルールを含むセキュリティグループを作成します。
   + IP アドレスまたはネットワークからの**ポート 22** での Secure Shell (SSH) を使用したインバウンドアクセスを許可するインバウンドルール。オプションで、セキュリティのために **[ソース]** アドレスを制限します。
   + NFS ポート 2049 でマウントターゲットセキュリティグループへのアウトバウンドアクセスを許可するアウトバウンドルール。マウントターゲットのセキュリティグループを送信先として特定します。

1. EFS マウントターゲット向けに、以下のルールを含むセキュリティグループを作成します。
   + EC2 セキュリティグループからの NFS ポート 2049 へのアクセスを許可するインバウンドルール。EC2 セキュリティグループをソースとして識別します。
**注記**  
デフォルトのアウトバウンドルールですべてのアウトバウンドトラフィックを許可するため、アウトバウンドルールを追加する必要はありません。

# Amazon EFS でのインターフェイス VPC エンドポイントの使用
<a name="efs-vpc-endpoints"></a>

仮想プライベートクラウド (VPC) と Amazon EFS API の間にプライベート接続を確立するには、インターフェイス VPC エンドポイントを作成できます。このエンドポイントは、インターネットゲートウェイ、NAT インスタンス、または仮想プライベートネットワーク (VPN) 接続を必要とせずに、Amazon EFS API への安全な接続を提供します。詳細については、*「Amazon* [VPC ユーザーガイド」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

インターフェイス VPC エンドポイントは AWS PrivateLink、プライベート IP アドレスを使用して AWS サービス間のプライベート通信を可能にする機能である を利用しています。 AWS PrivateLink を使用するには、Amazon VPC コンソール、API、または CLI を使用して、VPC に Amazon EFS のインターフェイス VPC エンドポイントを作成します。これによって Elastic Network Interface がサブネットに作成され、そのプライベート IP アドレスが Amazon EFS API リクエストを処理します。または VPC ピアリングを使用して Site-to-Site VPN Direct Connect、オンプレミス環境または他の VPCs から VPC エンドポイントにアクセスすることもできます。詳細については、「*Amazon VPC ユーザーガイド*」の「[AWS PrivateLinkを使用して VPC を サービスに接続する](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)」を参照してください。

## Amazon EFS 用のインターフェイスエンドポイントの作成
<a name="create-vpce-efs"></a>

Amazon EFS のインターフェイス VPC エンドポイントを作成するには、次のいずれかを使用します。
+ `com.amazonaws.region.elasticfilesystem` – Amazon EFS API オペレーションのエンドポイントを作成します。
+ **`com.amazonaws.region.elasticfilesystem-fips`** — [連邦情報処理規格 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/) に準拠した Amazon EFS API のエンドポイントを作成します。

Amazon EFS エンドポイントの詳細なリストについては、「*Amazon Web Services 全般のリファレンス*」の「[Amazon Elastic File System のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/elasticfilesystem.html)」を参照してください。

インターフェイスエンドポイントの作成方法の詳細については、*「Amazon* [VPC ユーザーガイド」の「インターフェイス VPC エンドポイントを使用して AWS サービスにアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)」を参照してください。

## Amazon EFS 用の VPC エンドポイントポリシーの作成
<a name="create-vpce-policy-efs"></a>

Amazon EFS API へのアクセスを制御するには、VPC エンドポイントに AWS Identity and Access Management (IAM) ポリシーをアタッチします。本ポリシーでは、以下を規定します。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ アクションを実行できるリソース。

詳細については、「*Amazon VPC ユーザーガイド*」の「[エンドポイントポリシーを使用して VPC エンドポイントへのアクセスを制御する](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」を参照してください。

次の例は、エンドポイントを介して EFS ファイルシステムを作成するアクセス許可を全員に対して拒否する VPC エンドポイントポリシーを示しています。このポリシー例では、他のすべてのアクションを実行するアクセス許可も全員に付与しています。

```
{
   "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticfilesystem:CreateFileSystem",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
```