As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando grupos de segurança da VPC
Ao usar o Amazon EFS, você especifica grupos de segurança de VPC para suas EC2 instâncias e grupos de segurança para os destinos de montagem do EFS associados ao sistema de arquivos. Um grupo de segurança atua como um firewall, e as regras adicionadas definem o fluxo de tráfego. No exercício de introdução, você criou um grupo de segurança ao iniciar a instância do EFS. Em seguida, você associou outro ao destino de montagem do EFS (ou seja, o security group padrão da sua VPC padrão). Essa abordagem funciona para o exercício de introdução. No entanto, para um sistema de produção, você deve configurar grupos de segurança com permissões mínimas para uso com o Amazon EFS.
Você pode autorizar o acesso de entrada e saída ao sistema de arquivos do EFS. Para fazer isso, você adiciona regras que permitem que as instâncias do EFS se conectem ao seu sistema de arquivos EFS por meio do destino de montagem usando a porta NFS (Network File System).
-
Cada EC2 instância que monta o sistema de arquivos deve ter um grupo de segurança com uma regra que permita acesso de saída ao destino de montagem na porta NFS 2049.
-
O destino de montagem do EFS precisa ter um grupo de segurança com uma regra que permita acesso de entrada na porta NFS 2049 de cada EC2 instância na qual você deseja montar o sistema de arquivos.
A tabela a seguir mostra as regras específicas do grupo de segurança necessárias:
| Grupo de segurança | Tipo de regra | Protocolo | Porta | Origem/destino |
|---|---|---|---|---|
| EC2 Instância | Saída | TCP | 2049 | Montar grupo de segurança alvo |
| Destino de montagem | Entrada | TCP | 2049 | EC2 grupo de segurança de instâncias |
Portas de origem para trabalhar com o Amazon EFS
Para oferecer suporte a um amplo conjunto de clientes NFS, o Amazon EFS permite conexões a partir de qualquer porta de origem. Se você exigir que apenas usuários privilegiados possam acessar o Amazon EFS, recomendamos usar a seguinte regra de firewall para clientes. Conecte-se ao sistema de arquivos usando SSH e execute o seguinte comando:
iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP
Esse comando insere uma nova regra no início da cadeia de SAÍDA (-I OUTPUT
1). A regra impede que qualquer processo sem privilégios e que não seja do kernel (-m owner --uid-owner
1-4294967294) abra uma conexão com a porta NFS 2049 (). -m tcp -p tcp –dport
2049
Considerações de segurança para o acesso à rede
Um cliente NFS versão 4.1 (NFSv4.1) só pode montar um sistema de arquivos se puder fazer uma conexão de rede com a porta NFS (porta TCP 2049) de um dos destinos de montagem do sistema de arquivos. Da mesma forma, um cliente NFSv4 .1 só pode declarar uma ID de usuário e grupo ao acessar um sistema de arquivos se puder fazer essa conexão de rede.
A possibilidade de fazer essa conexão de rede é regida por uma combinação do seguinte:
-
Isolamento de rede fornecido pela VPC dos destinos de montagem: os destinos de montagem de sistemas de arquivos não podem ter endereços IP públicos associado a eles. Os únicos destinos que podem montar sistemas de arquivos são os seguintes:
-
EC2 Instâncias da Amazon na Amazon VPC local
-
EC2 instâncias conectadas VPCs
-
Servidores locais conectados a uma Amazon VPC AWS Direct Connect usando e AWS Virtual Private Network uma (VPN)
-
-
Listas de controle de acesso à rede (ACLs) para as sub-redes VPC do cliente e destinos de montagem, para acesso de fora das sub-redes do destino de montagem — Para montar um sistema de arquivos, o cliente deve ser capaz de fazer uma conexão TCP com a porta NFS 2049 de um destino de montagem e receber tráfego de retorno.
-
Regras dos grupos de segurança VPC do cliente e dos alvos de montagem, para todos os acessos — Para que EC2 uma instância monte um sistema de arquivos, as seguintes regras de grupo de segurança devem estar em vigor:
-
O sistema de arquivos deve ter um destino de montagem cuja interface de rede tenha um grupo de segurança com uma regra que permita conexões de entrada na porta NFS 2049 da instância. Você pode habilitar conexões de entrada pelo endereço IP (intervalo CIDR) ou pelo security group. A origem das regras de security group da porta NFS de entrada em interfaces de rede do destino de montagem é um elemento fundamental do controle de acesso de sistemas de arquivos. Regras de entrada diferentes da porta NFS 2049 e quaisquer regras de saída não são usadas pelas interfaces de rede para destinos de montagem do sistema de arquivos.
-
A instância de montagem deve ter uma interface de rede com uma regra de grupo de segurança que permita conexões de saída com a porta NFS 2049 em um dos destinos de montagem do sistema de arquivos. Você pode habilitar conexões de saída pelo endereço IP (intervalo CIDR) ou pelo security group.
-
Para obter mais informações, consulte Como gerenciar destinos da montagem.
Criar grupos de segurança
Para criar grupos de segurança para EC2 instâncias e destinos de montagem do EFS
A seguir estão as etapas gerais que você executará ao criar os grupos de segurança para o Amazon EFS. Para obter instruções sobre como criar os grupos de segurança, consulte Criar um grupo de segurança no Guia do usuário da Amazon VPC.
-
Para suas EC2 instâncias, crie um grupo de segurança com as seguintes regras:
-
Uma regra de entrada que permite o acesso de entrada usando o Secure Shell (SSH) na porta 22 a partir do seu endereço IP ou rede. Opcionalmente, restrinja o endereço de origem por motivos de segurança.
-
Uma regra de saída que permite acesso de saída na porta NFS 2049 ao grupo de segurança de destino de montagem. Identifique o grupo de segurança alvo da montagem como o destino.
-
-
Para seu destino de montagem do EFS, crie um grupo de segurança com as seguintes regras:
-
Uma regra de entrada que permite acesso na porta NFS 2049 a partir do EC2 grupo de segurança. Identifique o grupo EC2 de segurança como a fonte.
nota
Você não precisa adicionar uma regra de saída porque a regra de saída padrão permite todo o tráfego de saída.
-
