本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon VPC 的檔案系統存取控制
您可以使用其中一個端點的 DNS 名稱或 IP 地址來存取 Amazon FSx for NetApp ONTAP 檔案系統和 SVMs,視其存取類型而定。DNS 名稱會映射至 VPC 中檔案系統或 SVM 彈性網路界面的私有 IP 地址。只有關聯 VPC 內的資源,或是透過 Direct Connect 或 VPN 與關聯 VPC 連線的資源,才能透過 NFS、SMB 或 iSCSI 通訊協定存取檔案系統中的資料。如需詳細資訊,請參閱[什麼是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) * Amazon VPC 使用者指南中的 。*
**警告**
您不得修改或刪除與檔案系統相關聯的彈性網路界面 (s)。修改或刪除網路界面可能會導致 VPC 和檔案系統之間的連線永久中斷。
## Amazon VPC 安全群組
安全群組可做為 FSx for ONTAP 檔案系統的虛擬防火牆,以控制傳入和傳出流量。傳入規則控制傳入至檔案系統的流量,傳出規則控制來自檔案系統的傳出流量。建立檔案系統時,您可以指定在其中建立的 VPC,並套用該 VPC 的預設安全群組。您可以將規則新增至每個安全群組,以允許流量進出其相關聯的檔案系統和 SVMs。您可以隨時修改安全群組的規則。新的和修改過的規則會自動套用至與安全群組相關聯的所有資源。當 Amazon FSx 決定是否允許流量到達資源時,它會評估與資源相關聯的所有安全群組的所有規則。
若要使用安全群組來控制對 Amazon FSx 檔案系統的存取,請新增傳入和傳出規則。傳入規則控制傳入流量,傳出規則控制來自檔案系統的傳出流量。請確定您的安全群組中有正確的網路流量規則,將 Amazon FSx 檔案系統的檔案共用映射至支援的運算執行個體上的資料夾。
如需安全群組規則的詳細資訊,請參閱《Amazon EC2 使用者指南》中的[安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules)。 *Amazon EC2 *
### 建立 VPC 安全群組
**建立 Amazon FSx 的安全群組**
1. 在 https://[https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2) 開啟 Amazon EC2 主控台。
1. 在導覽窗格中,選擇 **Security Groups** (安全群組)。
1. 選擇 **Create Security Group** (建立安全群組)。
1. 指定安全群組的名稱和描述。
1. 針對 **VPC**,選擇與檔案系統相關聯的 Amazon VPC,在該 VPC 內建立安全群組。
1. 對於傳出規則,允許所有連接埠上的所有流量。
1. 將下列規則新增至安全群組的傳入連接埠。對於**來源**欄位,您應該選擇**自訂**,並輸入與需要存取 FSx for ONTAP 檔案系統的執行個體相關聯的安全群組或 IP 地址範圍,包括:
+ 透過 NFS、SMB 或 iSCSI 存取檔案系統中資料的 Linux、Windows 和/或 macOS 用戶端。
+ 您將對等至檔案系統的任何 ONTAP 檔案系統/叢集 (例如,使用 SnapMirror、SnapVault 或 FlexCache)。
+ 您將用來存取 ONTAP REST API、CLI 或 ZAPIs的任何用戶端 (例如 Harvest/Grafana 執行個體、NetApp Connector 或 NetApp 主控台)。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/limit-access-security-groups.html)
1. 將安全群組新增至檔案系統的彈性網路界面。
#### 不允許存取檔案系統
若要暫時禁止從所有用戶端存取檔案系統,您可以移除與檔案系統彈性網路界面相關聯的所有安全群組,並將其取代為沒有傳入/傳出規則的群組。