Usar grupos de segurança da VPC - Amazon Elastic File System
Portas de origemConsiderações de segurança para o acesso à redeCriar grupos de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar grupos de segurança da VPC

Ao usar o Amazon EFS, você especifica grupos de segurança da VPC para suas instâncias e grupos de segurança do EC2 para os destinos de montagem do EFS associados ao sistema de arquivos. Um grupo de segurança atua como um firewall, e as regras adicionadas definem o fluxo de tráfego. No Exercício de conceitos básicos, você criou um grupo de segurança quando executou a instância do EFS. Em seguida, você associou outro ao destino de montagem do EFS (ou seja, o security group padrão da sua VPC padrão). Essa abordagem funciona para o exercício de conceitos básicos. No entanto, para um sistema de produção, você deve configurar grupos de segurança com o mínimo de permissões para utilização com o Amazon EFS.

Você pode autorizar o acesso de entrada e saída ao sistema de arquivos do EFS. Para fazer isso, você adiciona regras que permitam que as instâncias do EFS se conectem ao sistema de arquivos do EFS por meio do destino de montagem usando a porta do Network File System (NFS).

  • Cada instância do EC2 que monta o sistema de arquivos deve ter um grupo de segurança com uma regra que permita o acesso de saída para o destino de montagem na porta NFS 2049.

  • O destino de montagem do EFS precisa ter um grupo de segurança com uma regra que permita acesso de entrada na porta NFS 2049 de cada instância do EC2 na qual você deseja montar o sistema de arquivos.

A tabela a seguir mostra as regras de grupo de segurança específicas necessárias:

Security group Tipo de regra Protocolo Porta Origem/destino
Instância do EC2 Saída TCP 2049 Grupo de segurança de destino de montagem
Destino de montagem Entrada TCP 2049 Grupo de segurança da instância do EC2

Portas de origem para trabalhar com o Amazon EFS

Para oferecer suporte a um amplo conjunto de clientes NFS, o Amazon EFS permite conexões a partir de qualquer porta de origem. Se você exigir que apenas usuários privilegiados possam acessar o Amazon EFS, recomendamos usar a seguinte regra de firewall para clientes. Conecte-se ao sistema de arquivos usando SSH e execute o seguinte comando:

iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP

Esse comando insere uma nova regra no início da cadeia de SAÍDA (-I OUTPUT 1). A regra impede que qualquer processo sem privilégios que não seja de kernel (-m owner --uid-owner 1-4294967294) abra uma conexão com o NFS porta 2049 (-m tcp -p tcp –dport 2049).

Considerações de segurança para o acesso à rede

Um cliente NFS versão 4.1 (NFSv4.1) só poderá montar um sistema de arquivos se puder fazer uma conexão de rede à porta NFS (porta TCP 2049) de um dos destinos de montagem do sistema de arquivos. De maneira semelhante, um cliente NFSv4.1 só pode confirmar um ID de usuário e de grupo ao acessar um sistema de arquivos se puder fazer essa conexão de rede.

A possibilidade de fazer essa conexão de rede é regida por uma combinação do seguinte:

  • Isolamento de rede fornecido pela VPC dos destinos de montagem: os destinos de montagem de sistemas de arquivos não podem ter endereços IP públicos associado a eles. Os únicos destinos que podem montar sistemas de arquivos são os seguintes:

    • Instâncias do Amazon EC2 na Amazon VPC local

    • Instâncias do EC2 em VPCs conectadas

    • Servidores on-premises conectados a uma Amazon VPC usando AWS Direct Connect e AWS Virtual Private Network (VPN)

  • Listas de controle de acesso (ACLs) das sub-redes da VPC dos destinos de montagem e do cliente (para acesso de fora de sub-redes de destinos de montagem): para montar o sistema de arquivos, o cliente deve ser capaz de estabelecer conexão TCP com o NFS porta 2049 de um destino de montagem e receber tráfego de retorno.

  • Regras dos grupos de segurança da VPC de clientes e de destinos de montagem, para todos os acessos: para uma instância do EC2 montar um sistema de arquivos, as seguintes regras de grupo de segurança devem estar em vigor:

    • O sistema de arquivos deve ter um destino de montagem cuja interface de rede tenha um grupo de segurança com uma regra que permita conexões de entrada no NFS porta 2049 da instância. Você pode habilitar conexões de entrada pelo endereço IP (intervalo CIDR) ou pelo security group. A origem das regras de security group da porta NFS de entrada em interfaces de rede do destino de montagem é um elemento fundamental do controle de acesso de sistemas de arquivos. As regras de entrada que não sejam a do NFS porta 2049 e quaisquer regras de saída não são usadas por interfaces de rede para destinos de montagem do sistema de arquivos.

    • A instância de montagem deve ter uma interface de rede com uma regra de grupo de segurança que permita conexões de saída com o NFS porta 2049 em um dos destinos de montagem do sistema de arquivos. Você pode habilitar conexões de saída pelo endereço IP (intervalo CIDR) ou pelo security group.

Para obter mais informações, consulte Como gerenciar destinos da montagem.

Criar grupos de segurança

Como criar grupos de segurança para instâncias do EC2 e destinos de montagem do EFS

Veja a seguir as etapas gerais que você executará ao criar os grupos de segurança do Amazon EFS. Para receber instruções sobre a criação de grupos de segurança, consulte Criar um grupo de segurança no Guia do usuário da Amazon VPC.

  1. Para suas instâncias do EC2, crie um grupo de segurança com as seguintes regras:

    • Uma regra de entrada que permite o acesso de entrada usando o Secure Shell (SSH) na porta 22 por meio do seu endereço IP ou rede. Você também pode restringir o endereço de origem para fins de segurança.

    • Uma regra de saída que permite acesso de saída na porta NFS 2049 ao grupo de segurança do destino de montagem. Identifique o grupo de segurança do destino de montagem como destino.

  2. Para seu destino de montagem do EFS, crie um grupo de segurança com as seguintes regras:

    • Uma regra de entrada que permita acesso na porta NFS 2049 por meio do grupo de segurança do EC2. O grupo de segurança do EC2 é identificado como a origem.

    nota

    Você não precisa adicionar uma regra de saída porque a regra de saída padrão permite todo o tráfego de saída.