Verwendung von VPC-Sicherheitsgruppen für Amazon EC2-Instance und Mounting-Ziele - Amazon Elastic File System

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von VPC-Sicherheitsgruppen für Amazon EC2-Instance und Mounting-Ziele

Wenn Sie Amazon EFS verwenden, geben Sie Amazon EC2-Sicherheitsgruppen für Ihre EC2-Instances und Sicherheitsgruppen für die mit dem Dateisystem verbundenen EFS-Mounting-Ziele an. Eine Sicherheitsgruppe fungiert als Firewall, und die Regeln, die Sie hinzufügen, definieren den Datenfluss. In der „Erste Schritte“-Übung haben Sie beim Starten der EC2-Instance eine Sicherheitsgruppe erstellt. Dann haben Sie dem EFS-Mounting-Ziel eine weitere Sicherheitsgruppe (die Standardsicherheitsgruppe für Ihre Standard-VPC) zugeordnet. Dieser Ansatz funktioniert für die „Erste Schritte“-Übung. Für eine Produktionsumgebung sollten Sie jedoch Sicherheitsgruppen mit möglichst geringen Nutzungsberechtigungen für EFS einrichten.

Sie können eingehenden und ausgehenden Datenverkehr für Ihr EFS-Dateisystem autorisieren. Dazu fügen Sie Regeln hinzu, die es Ihrer EC2-Instance erlauben, sich über das Mountinghilfe mit Ihrem Amazon-EFS-Dateisystem zu verbinden, indem Sie den NFS-Port (Network File System) verwenden. Gehen Sie wie folgt vor, um Sicherheitsgruppen zu erstellen und zu aktualisieren.

So erstellen Sie Sicherheitsgruppen für EC2-Instances und Mounting-Ziele

  1. Erstellen Sie zwei Sicherheitsgruppen in Ihrer VPC.

    Anweisungen hierzu finden Sie in der Anleitung „So erstellen Sie eine Sicherheitsgruppe“ unter Erstellen einer Sicherheitsgruppe im Amazon VPC-Benutzerhandbuch.

  2. Öffnen Sie die Amazon VPC Management Console unter https://console.aws.amazon.com/vpc/ und überprüfen Sie die Standardregeln für diese Sicherheitsgruppen. Beide Sicherheitsgruppen sollten nur über eine Regel verfügen, die ausgehenden Datenverkehr zulässt.

So aktualisieren Sie den erforderlichen Zugriff für Ihre Sicherheitsgruppen:

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Fügen Sie eine Regel für Ihre EC2-Sicherheitsgruppe hinzu, die eingehenden Datenverkehr über Secure Shell (SSH) von beliebigen Hosts erlaubt. Optional können Sie die Adresse der Source (Quelle) beschränken.

    Sie müssen keine ausgehende Regel hinzufügen, da die Standardausgangsregel jeden Datenverkehr nach außen zulässt. Ist dies nicht der Fall, müssen Sie eine Regel für ausgehenden Datenverkehr hinzufügen, um eine TCP-Verbindung auf dem NFS-Port zu öffnen, wobei die Sicherheitsgruppe des Mounting-Ziels als Ziel identifiziert wird.

    Anweisungen dazu finden Sie unter Hinzufügen und Entfernen von Regeln im Amazon VPC-Benutzerhandbuch.

  3. Fügen der Mounting-Ziele für den gesamten eingehenden und ausgehenden Datenverkehr hinzu.

    • Fügen Sie eine eingehende Regel für die Sicherheitsgruppe mount target hinzu, um den eingehenden Zugriff von der EC2-Sicherheitsgruppe zu erlauben. Identifizieren Sie die EC2-Sicherheitsgruppe als Quelle.

    • Fügen Sie eine ausgehende Regel hinzu, um die TCP-Verbindung auf allen NFS-Ports zu öffnen. Geben Sie die EC2-Sicherheitsgruppe als Ziel an.

    Anweisungen dazu finden Sie unter Hinzufügen und Entfernen von Regeln im Amazon VPC-Benutzerhandbuch.

  4. Überprüfen Sie, ob beide Sicherheitsgruppen jetzt Zugriff auf eingehenden und ausgehenden Datenverkehr autorisieren.

Weitere Informationen zu Sicherheitsgruppen finden Sie unter Amazon EC2-Sicherheitsgruppen für Linux-Instances.