Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control de acceso al sistema de archivos con Amazon VPC
Puede acceder a su sistema de archivo de Amazon FSx mediante una interfaz de red elástica. Esta interfaz de red reside en la nube privada virtual (VPC) basada en el servicio Amazon Virtual Private Cloud (Amazon VPC) que asocia al sistema de archivo. Puede conectarse a su sistema de archivo de Amazon FSx mediante el nombre del Servicio de nombres de dominio (DNS). El nombre del DNS se asigna a la dirección IP privada de la interface de red elástica del sistema de archivos en la VPC. Solo los recursos de la VPC asociada, los recursos conectados a la VPC asociada mediante una VPN AWS Direct Connect o los recursos de las VPC interconectadas pueden acceder a la interfaz de red del sistema de archivos. Para obtener más información, consulte ¿Qué es Amazon VPC? en la Guía del usuario de Amazon VPC.
aviso
No debe modificar ni eliminar las interfaces elásticas de red asociadas al sistema de archivos. Si se modifica o elimina la interfaz de red, se puede provocar una pérdida permanente de la conexión entre la VPC y el sistema de archivos.
FSx for Windows File Server admite el uso compartido de VPC, lo que le permite ver, crear, modificar y eliminar recursos de una subred compartida en una VPC propiedad de otra cuenta. AWS Para obtener más información, consulte Uso de VPC compartidas en la Guía del usuario de Amazon VPC.
Grupos de seguridad de Amazon VPC
Utilice los grupos de seguridad para limitar el acceso a los sistemas de archivos. De esta manera, podrá ejercer un control más estricto del tráfico de la red que pasa por las interfaces de red elásticas del sistema de archivos dentro de la VPC. Un grupo de seguridad es un firewall con estado que controla el tráfico hacia y desde las interfaces de red asociadas. En este caso, el recurso asociado son las interfaces de red del sistema de archivos.
Para poder usar un grupo de seguridad para controlar el acceso al sistema de archivos Amazon FSx, añada las reglas de entrada y salida. Las reglas de entrada controlan el tráfico que ingresa a la instancia, y las de salida, el que sale. Asegúrese de que dispone de las reglas de tráfico de red adecuadas en su grupo de seguridad para asignar el recurso compartido de archivos de su sistema de archivos de Amazon FSx a una carpeta de su instancia de computación compatible.
Para obtener más información sobre las reglas de los grupos de seguridad, consulte Reglas de grupos de seguridad en la Guía del usuario de Amazon EC2.
Para crear un grupo de seguridad para Amazon FSx
-
Abra la consola Amazon EC2 en https://console.aws.amazon.com/ec2.
-
En el panel de navegación, elija Grupos de seguridad.
-
Elija Crear grupo de seguridad.
-
Especifique un nombre y una descripción para el grupo de seguridad.
-
Para la VPC, elija la VPC de Amazon asociada al sistema de archivos para crear el grupo de seguridad dentro de esa VPC.
-
Agregue las siguientes reglas para permitir el tráfico de red saliente en los siguientes puertos:
-
En el caso de los grupos de seguridad de VPC, el grupo de seguridad predeterminado de la Amazon VPC predeterminada ya está agregado al sistema de archivos en la consola. Asegúrese de que el grupo de seguridad y las ACL de red de VPC de las subredes en las que va a crear el sistema de archivos de FSx permitan el tráfico en los puertos y en las direcciones que se muestran en el siguiente diagrama.
En la siguiente tabla se identifica la función de cada puerto.
Protocolo
Puertos
Rol
TCP/UDP
53
Sistema de nombres de dominio (DNS)
TCP/UDP
88
Autenticación de Kerberos
TCP/UDP
464
Cambiar/establecer contraseña
TCP/UDP
389
Protocolo ligero de acceso a directorios (LDAP)
UDP 123 Protocolo de tiempo de red (NTP)
TCP 135 Entorno de computación distribuido/asignador de puntos de conexión (DCE/EPMAP)
TCP
445
Uso compartido de archivos SMB de Directory Services
TCP
636
Protocolo ligero de acceso a directorios sobre TLS/SSL (LDAP)
TCP
3268
Catálogo global de Microsoft
TCP
3269
Catálogo global de Microsoft mediante SSL
TCP
5985
WinRM 2.0 (Administración remota de Microsoft Windows)
TCP
9389
Servicios web de Microsoft AD DS, PowerShell
TCP
49152 - 65535
Puertos efímeros para RPC
importante
Es necesario permitir el tráfico saliente del puerto TCP 9389 para las implementaciones de sistemas de archivos Single-AZ 2 y Multi-AZ.
-
Asegúrese de que estas reglas de tráfico también se reflejen en los firewalls que se aplican a cada uno de los controladores de dominio de AD, los servidores DNS, y los clientes y administradores de FSx.
importante
Si bien los grupos de seguridad de Amazon VPC requieren que los puertos se abran solo en la dirección en la que se inicia el tráfico de red, la mayoría de los firewalls de Windows y las ACL de la red de VPC requieren que los puertos estén abiertos en ambas direcciones.
nota
Si el usuario tiene sitios definidos de Active Directory, debe asegurarse de que las subredes de la VPC asociadas al sistema de archivos de Amazon FSx estén definidas en un sitio de Active Directory y que no existan conflictos entre las subredes de la VPC y las subredes de sus otros sitios. Puede ver y cambiar esta configuración con el complemento MMC de sitios y servicios de Active Directory.
nota
En algunos casos, es posible que haya modificado las reglas de su grupo de seguridad de AWS Managed Microsoft AD con respecto a la configuración predeterminada. Si es así, asegúrese de que dicho grupo de seguridad tenga las reglas de entrada necesarias para permitir el tráfico desde su sistema de archivos Amazon FSx. Para obtener más información sobre las reglas de entrada necesarias, consulte los requisitos previos de AWS Managed Microsoft AD en la Guía de administración de AWS Directory Service .
-
Ahora que ha creado el grupo de seguridad, puede asociarlo a las interfaces de red elásticas de su sistema de archivos Amazon FSx.
Asociar el grupo de seguridad a su sistema de archivos de Amazon FSx
-
Abra la consola de Amazon FSx en https://console.aws.amazon.com/fsx/
. -
En el panel de control, elija el sistema de archivo para ver la información.
-
Seleccione la pestaña Red y seguridad, y elija las interfaces de red del sistema de archivos; por ejemplo, ENI-01234567890123456. En el caso de los sistemas de archivos Single-AZ, verá una interfaz de red única. En el caso de los sistemas de archivos Multi-AZ, verá una interfaz de red en la subred preferida y otra, en la subred en espera.
-
Para cada interfaz de red, elíjala y, en Acciones, seleccione Cambiar grupos de seguridad.
-
En el cuadro de diálogo Cambiar grupos de seguridad, elija los grupos de seguridad que desee utilizar y seleccione Guardar.
Denegar el acceso a un sistema de archivos
Para impedir temporalmente que los clientes tengan acceso de red al sistema de archivos, puede eliminar los grupos de seguridad asociados a las interfaces de red elásticas del sistema de archivos y sustituirlos por un grupo que no tenga reglas de entrada y salida.
ACL de la red de Amazon VPC
Otra opción para proteger el acceso al sistema de archivos de la VPC es establecer listas de control de acceso de la red (ACL de la red). Si bien las ACL de la red funcionan de forma separada de los grupos de seguridad, tienen funciones similares para añadir una capa de seguridad adicional a los recursos de la VPC. Para obtener información sobre las ACL de la red, consulte las ACL de la red en la Guía del usuario de Amazon VPC.
