翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon VPC によるファイルシステムアクセスコントロール
<a name="limit-access-security-groups"></a>

Amazon FSx for NetApp ONTAP ファイルシステムおよび SVM にアクセスするには、アクセスタイプによって、そのエンドポイントの DNS 名または IP アドレスを使用します。DNS 名は、VPC 内のファイルシステムまたは SVM の Elastic Network Interface プライベート IP アドレスにマッピングされます。関連付けられた VPC 内のリソース、または Direct Connect または VPN によって関連付けられた VPC に接続されたリソースのみが、NFS、SMB、または iSCSI プロトコルを介してファイルシステム内のデータにアクセスできます。詳細については、「Amazon VPC ユーザーガイド」の「[Amazon VPC とは](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。

**警告**  
ファイルシステムに関連付けられている Elastic Network Interface を変更または削除してはいけません。このネットワークインターフェイスを変更または削除すると、VPC とファイルシステムとの間の接続が完全に失われる可能性があります。

## Amazon VPC セキュリティグループ
<a name="fsx-vpc-security-groups"></a>

セキュリティグループは、FSx for ONTAP ファイルシステムの仮想ファイアウォールとして機能し、受信トラフィックと送信トラフィックをコントロールします。インバウンドルールはファイルシステムへの受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。ファイルシステムを作成するときは、作成する VPC を指定するとその VPC のデフォルトのセキュリティグループが適用されます。各セキュリティグループに対してルールを追加し、関連付けられたファイルシステムおよび SVM に対するトラフィックを許可できます。セキュリティグループのルールはいつでも変更できます。新規または変更したルールは、セキュリティグループに関連付けられたすべてのリソースに自動的に適用されます。Amazon FSx は、トラフィックがリソースに到達することを許可するかどうか判断する際に、リソースに関連付けられているすべてのセキュリティグループのすべてのルールを評価します。

 セキュリティグループを使用して Amazon FSx ファイルシステムへのアクセスをコントロールするには、インバウンドとアウトバウンドのルールを追加します。インバウンドルールは受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。Amazon FSx ファイルシステムのファイル共有を、サポートされているコンピュートインスタンス上のフォルダーにマッピングするため、適切なネットワークトラフィックルールがセキュリティグループにあることを確認します。

セキュリティグループルールの詳細については、*Amazon EC2 ユーザーガイド*の「[セキュリティグループルール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules)」を参照してください。

### VPC セキュリティグループを作成する
<a name="create-security-group"></a>

**Amazon FSx のセキュリティグループを作成するには**

1. [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) で Amazon EC2 コンソールを開きます。

1. ナビゲーションペインで、**[セキュリティグループ]** を選択します。

1. **[Create Security Group]** (セキュリティグループの作成) を選択します。

1. セキュリティグループの名前と説明を指定します。

1. **VPC** で、ファイルシステムに関連付けられている Amazon VPC を選択して、その VPC 内にセキュリティグループを作成します。

1. アウトバウンドルールについて、すべてのポート上のすべてのトラフィックを許可します。

1. セキュリティグループの着信ポートに次のルールを追加します。**出典** フィールドでは **[Custom]** (カスタム) を選択し、FSx for ONTAP ファイルシステムにアクセスする必要があるインスタンスに関連付けられているセキュリティグループまたは IP アドレス範囲を入力する必要があります。これには、次のものが含まれます。
   + NFS、SMB、または iSCSI 経由でファイルシステム内のデータにアクセスする Linux、Windows、macOS クライアント。
   + ファイルシステムにピアリングする ONTAP ファイルシステム / クラスター (SnapMirror、SnapVault、FlexCache など)。
   + ONTAP REST API、CLI、または ZAPI にアクセスするために使用するすべてのクライアント (例えば、Harvest / Grafana インスタンス、NetApp Connector、または NetApp コンソール)。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/ONTAPGuide/limit-access-security-groups.html)

1. ファイルシステムの Elastic Network Interface にセキュリティグループを追加します。

#### ファイルシステムへのアクセスを許可しない
<a name="disallow-access"></a>

 すべてのクライアントからファイルシステムへのネットワークアクセスを一時的に無効にするには、ファイルシステムの Elastic Network Interface (複数も可) に関連付けられているすべてのセキュリティグループを削除し、インバウンド / アウトバウンドルールを持たないグループに置き換えます。