As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Controlar o acesso da rede aos sistemas de arquivos do EFS para clientes NFS
Controlar o acesso à rede

Você pode controlar o acesso de clientes NFS aos sistemas de arquivos do Amazon EFS usando segurança da camada de rede e políticas do sistema de arquivos EFS. Você pode usar os mecanismos de segurança da camada de rede disponíveis com o Amazon EC2, como as regras e a rede do grupo de segurança VPC. ACLs Você também pode usar o AWS IAM para controlar o acesso ao NFS com uma política de sistema de arquivos EFS e políticas baseadas em identidade.

**Topics**
+ [

# Usar grupos de segurança da VPC
](network-access.md)
+ [

# Trabalhar com endpoints da VPC de interface no Amazon EFS
](efs-vpc-endpoints.md)

# Usar grupos de segurança da VPC
Usar grupos de segurança da VPC

Ao usar o Amazon EFS, você especifica grupos de segurança da VPC para suas instâncias e grupos de segurança do EC2 para os destinos de montagem do EFS associados ao sistema de arquivos. Um grupo de segurança atua como um firewall, e as regras adicionadas definem o fluxo de tráfego. No [Exercício de conceitos básicos](getting-started.md), você criou um grupo de segurança quando executou a instância do EFS. Em seguida, você associou outro ao destino de montagem do EFS (ou seja, o security group padrão da sua VPC padrão). Essa abordagem funciona para o exercício de conceitos básicos. No entanto, para um sistema de produção, você deve configurar grupos de segurança com o mínimo de permissões para utilização com o Amazon EFS.

Você pode autorizar o acesso de entrada e saída ao sistema de arquivos do EFS. Para fazer isso, você adiciona regras que permitam que as instâncias do EFS se conectem ao sistema de arquivos do EFS por meio do destino de montagem usando a porta do Network File System (NFS).
+ Cada instância do EC2 que monta o sistema de arquivos deve ter um grupo de segurança com uma regra que permita o acesso de saída para o destino de montagem na **porta NFS 2049**. 
+ O destino de montagem do EFS precisa ter um grupo de segurança com uma regra que permita acesso de entrada na porta NFS 2049 de cada instância do EC2 na qual você deseja montar o sistema de arquivos.

A tabela a seguir mostra as regras de grupo de segurança específicas necessárias:


| Grupo de segurança | Tipo de regra | Protocolo | Porta | Origem/destino | 
| --- | --- | --- | --- | --- | 
| Instância do EC2 | Saída | TCP | 2049 | Grupo de segurança de destino de montagem | 
| Destino de montagem | Entrada | TCP | 2049 | Grupo de segurança da instância do EC2 | 

## Portas de origem para trabalhar com o Amazon EFS
Portas de origem

Para oferecer suporte a um amplo conjunto de clientes NFS, o Amazon EFS permite conexões a partir de qualquer porta de origem. Se você exigir que apenas usuários privilegiados possam acessar o Amazon EFS, recomendamos usar a seguinte regra de firewall para clientes. Conecte-se ao sistema de arquivos usando SSH e execute o seguinte comando:

```
iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP
```

Esse comando insere uma nova regra no início da cadeia de SAÍDA (`-I OUTPUT 1`). A regra impede que qualquer processo sem privilégios que não seja de kernel (`-m owner --uid-owner 1-4294967294`) abra uma conexão com o NFS porta 2049 (`-m tcp -p tcp –dport 2049`).

## Considerações de segurança para o acesso à rede


Um cliente NFS versão 4.1 (NFSv4.1) só pode montar um sistema de arquivos se puder fazer uma conexão de rede com a porta NFS (porta TCP 2049) de um dos destinos de montagem do sistema de arquivos. Da mesma forma, um cliente NFSv4 .1 só pode declarar uma ID de usuário e grupo ao acessar um sistema de arquivos se puder fazer essa conexão de rede. 

A possibilidade de fazer essa conexão de rede é regida por uma combinação do seguinte:
+ **Isolamento de rede fornecido pela VPC dos destinos de montagem**: os destinos de montagem de sistemas de arquivos não podem ter endereços IP públicos associado a eles. Os únicos destinos que podem montar sistemas de arquivos são os seguintes: 
  + Instâncias do Amazon EC2 na Amazon VPC local
  + Instâncias do EC2 estão conectadas VPCs
  + Servidores locais conectados a uma Amazon VPC AWS Direct Connect usando AWS Virtual Private Network uma (VPN)
+ **Listas de controle de acesso à rede (ACLs) para as sub-redes VPC do cliente e destinos de montagem, para acesso de fora das sub-redes do destino de montagem** — Para montar um sistema de arquivos, o cliente deve ser capaz de fazer uma conexão TCP com a porta NFS 2049 de um destino de montagem e receber tráfego de retorno. 
+ **Regras dos grupos de segurança da VPC de clientes e de destinos de montagem, para todos os acessos**: para uma instância do EC2 montar um sistema de arquivos, as seguintes regras de grupo de segurança devem estar em vigor: 
  +  O sistema de arquivos deve ter um destino de montagem cuja interface de rede tenha um grupo de segurança com uma regra que permita conexões de entrada no NFS porta 2049 da instância. Você pode habilitar conexões de entrada pelo endereço IP (intervalo CIDR) ou pelo security group. A origem das regras de security group da porta NFS de entrada em interfaces de rede do destino de montagem é um elemento fundamental do controle de acesso de sistemas de arquivos. As regras de entrada que não sejam a do NFS porta 2049 e quaisquer regras de saída não são usadas por interfaces de rede para destinos de montagem do sistema de arquivos. 
  +  A instância de montagem deve ter uma interface de rede com uma regra de grupo de segurança que permita conexões de saída com o NFS porta 2049 em um dos destinos de montagem do sistema de arquivos. Você pode habilitar conexões de saída pelo endereço IP (intervalo CIDR) ou pelo security group.

Para obter mais informações, consulte [Como gerenciar destinos da montagem](accessing-fs.md).

## Criar grupos de segurança


**Como criar grupos de segurança para instâncias do EC2 e destinos de montagem do EFS**

Veja a seguir as etapas gerais que você executará ao criar os grupos de segurança do Amazon EFS. Para receber instruções sobre a criação de grupos de segurança, consulte [Criar um grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) no *Guia do usuário da Amazon VPC*.

1. Para suas instâncias do EC2, crie um grupo de segurança com as seguintes regras:
   + Uma regra de entrada que permite o acesso de entrada usando o Secure Shell (SSH) na **porta 22** por meio do seu endereço IP ou rede. Você também pode restringir o endereço de **origem** para fins de segurança. 
   + Uma regra de saída que permite acesso de saída na porta NFS 2049 ao grupo de segurança do destino de montagem. Identifique o grupo de segurança do destino de montagem como destino.

1. Para seu destino de montagem do EFS, crie um grupo de segurança com as seguintes regras:
   + Uma regra de entrada que permita acesso na porta NFS 2049 por meio do grupo de segurança do EC2. O grupo de segurança do EC2 é identificado como a origem.
**nota**  
Você não precisa adicionar uma regra de saída porque a regra de saída padrão permite todo o tráfego de saída.

# Trabalhar com endpoints da VPC de interface no Amazon EFS
Trabalhar com endpoints da VPC

Para estabelecer uma conexão privada entre sua nuvem privada virtual (VPC) e a API do Amazon EFS, você pode criar um endpoint da VPC de interface. O endpoint fornece conectividade segura com a API do Amazon EFS sem exigir um gateway da internet, uma instância NAT ou uma conexão de rede privada virtual (VPN). Para obter mais informações, consulte [Acessar um AWS serviço usando uma interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) no Guia do usuário da Amazon *VPC*. 

Os endpoints VPC de interface são alimentados por AWS PrivateLink um recurso que permite a comunicação privada entre AWS serviços usando endereços IP privados. Para usar AWS PrivateLink, crie uma interface VPC endpoint para o Amazon EFS em sua VPC usando o console, a API ou a CLI da Amazon VPC. Isso cria uma interface de rede elástica na sub-rede com um endereço IP privado que atende solicitações de API do Amazon EFS. Você também pode acessar um VPC endpoint a partir de ambientes locais ou de outros VPCs usos Site-to-Site VPN ou emparelhamento de VPC. Direct Connect Para saber mais, consulte [Conectar sua VPC a outro serviços usando o AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) no *Guia do usuário da Amazon VPC*. 

## Criar um endpoint de interface para o Amazon EFS
Criar um endpoint de interface

Para criar um endpoint da VPC de interface para o Amazon EFS, use um dos seguintes:
+ `com.amazonaws.region.elasticfilesystem`: cria um endpoint para operações de API do Amazon EFS.
+ **`com.amazonaws.region.elasticfilesystem-fips`**: cria um endpoint para a API do Amazon EFS que está em conformidade com o [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

Para ver uma lista completa dos endpoints do Amazon EFS, consulte [Endpoints e cotas do sistema do Amazon Elastic File System](https://docs.aws.amazon.com/general/latest/gr/elasticfilesystem.html) no *Referência geral da Amazon Web Services*. 

Para obter mais informações sobre como criar um endpoint de interface, consulte [Acessar um AWS serviço usando um endpoint VPC de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) no Guia do usuário do *Amazon VPC*.

## Criar uma política de endpoint da VPC para o Amazon EFS
Criar uma política de endpoint

Para controlar o acesso à API do Amazon EFS, você pode anexar uma política AWS Identity and Access Management (IAM) ao seu VPC endpoint. A política especifica o seguinte:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas. 

Para obter mais informações, consulte [Controlar o acesso aos endpoints da VPC usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.

O exemplo a seguir mostra uma política de endpoint da VPC que nega a todos permissão para criar um sistema de arquivos do EFS pelo endpoint. O exemplo de política também concede a todos permissão para executar todas as outras ações. 

```
{
   "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticfilesystem:CreateFileSystem",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
```