本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon VPC 进行文件系统访问控制
<a name="limit-access-security-groups"></a>

您可以通过弹性网络 interface 访问您的亚马逊 FSx 文件系统。该网络接口位于虚拟私有云（VPC）中，基于您与文件系统关联的 Amazon Virtual Private Cloud（Amazon VPC）服务。您可以通过其域名服务 (DNS) 名称连接到您的 Amazon FSx 文件系统。DNS 名称映射到 VPC 中文件系统弹性网络接口的私有 IP 地址。只有关联 VPC 内的资源、通过 Direct Connect 或 VPN 与关联 VPC 连接的资源或对等体内的资源 VPCs 才能访问文件系统的网络接口。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[什么是 Amazon VPC？](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。

**警告**  
不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。

FSx 适用于 Windows 文件服务器支持 VPC 共享，这使您可以查看、创建、修改和删除其他 AWS 账户拥有的 VPC 中共享子网中的资源。有关更多信息，请参阅 *Amazon VPC 用户指南 VPCs*中的[使用共享](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。

## Amazon VPC 安全组
<a name="fsx-vpc-security-groups"></a>

 为了进一步控制通过 VPC 内文件系统弹性网络接口的网络流量，请使用安全组来限制对文件系统的访问。*安全组*是一种状态防火墙，用于控制进出其关联网络接口的流量。在这种情况下，关联的资源就是文件系统的网络接口。

 要使用安全组控制对您的 Amazon FSx 文件系统的访问，请添加入站和出站规则。入站规则控制传入的流量，出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则，可以将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。

有关安全组规则的更多信息，请参阅*《Amazon EC2 用户指南》*中的[安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules)。

**为 Amazon 创建安全组 FSx**

1. 在 [https://console.aws.amazon.com/ec2 上打开亚马逊 EC2](https://console.aws.amazon.com/ec2) 控制台。

1. 在导航窗格中，选择 **Security Groups**（安全组）。

1. 选择**创建安全组**。

1. 为安全组指定名称和描述。

1. 对于 **VPC**，请选择与您的文件系统关联的 Amazon VPC 以在该 VPC 中创建安全组。

1. <a name="vpc-sg-step6"></a>添加以下规则以允许以下端口上的出站网络流量：

   1. 对于 **VPC 安全组**，用于您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保您创建 FSx 文件系统的子网的安全组和 VPC 网络 ACLs 允许端口和下图所示方向上的流量。  
![\[FSx 适用于 Windows 文件服务器对 VPC 安全组和创建文件系统的子网的网络 ACLs 的端口配置要求。\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/images/Windows-port-requirements.png)

      下表确定了每个端口的作用。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/WindowsGuide/limit-access-security-groups.html)
**重要**  
单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

   1. 确保这些流量规则也镜像到适用于每个 AD 域控制器、DNS 服务器、 FSx 客户端和管理员的防火墙上。 FSx 
**重要**  
虽然 Amazon VPC 安全组要求仅在网络流量启动的方向上打开端口，但大多数 Windows 防火墙和 VPC 网络都 ACLs 要求双向打开端口。
**注意**  
 如果您定义了 Active Directory 站点，则必须确保与 Amazon FSx 文件系统关联的 VPC 中的子网是在活动目录站点中定义的，并且您的 VPC 中的子网与其他站点中的子网之间不存在冲突。您可以使用 Active Directory Sites and Services MMC 管理单元查看和更改这些设置。
**注意**  
在某些情况下，您可能已经修改了 AWS Managed Microsoft AD 安全组规则的默认设置。如果是，请确保此安全组具有允许来自您的 Amazon FSx 文件系统的流量所需的入站规则。有关必需的入站规则的更多信息，请参阅《AWS Directory Service 管理指南》**中的[AWS Managed Microsoft AD 先决条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)。

现在，您已经创建了安全组，可以将其与 Amazon FSx 文件系统的弹性网络接口相关联。

**将安全组与您的 Amazon FSx 文件系统关联**

1. 打开 Amazon FSx 控制台，网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。

1. 在控制面板上，选择您的文件系统以查看其详细信息。

1. 在**网络与安全**选项卡上，选择文件系统的网络接口；例如，**ENI-01234567890123456**。对于单可用区文件系统，您将看到单个网络接口。对于多可用区文件系统，您将在首选子网和备用子网中分别看到一个网络接口。

1. 对于每个网络接口，选择网络接口，然后在**操作**中选择**更改安全组**。

1. 在**更改安全组**对话框中，选择要使用的安全组，然后选择**保存**。

### 禁止访问文件系统
<a name="disallow-access"></a>

 要暂时禁止所有客户端通过网络访问您的文件系统，您可以删除与文件系统的 elastic network interface 关联的所有安全组，然后将其替换为没有 inbound/outbound 规则的组。

## 亚马逊 VPC 网络 ACLs
<a name="limit-access-acl"></a>

保护对您的 VPC 内文件系统的访问的另一种选择是建立网络访问控制列表（网络 ACLs）。网络与安全组 ACLs 是分开的，但具有类似的功能，可以为您的 VPC 中的资源增加一层额外的安全保护。有关网络的更多信息 ACLs，请参阅 *Amazon VPC 用户指南 ACLs中的[网络](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html)。*