Pertimbangan keamanan untuk akses jaringan - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan keamanan untuk akses jaringan

Klien NFS versi 4.1 (NFSv4.1) hanya dapat me-mount sistem file jika dapat membuat koneksi jaringan ke port NFS (port TCP 2049) dari salah satu target pemasangan sistem file. Demikian pula, klien NFSv4.1 hanya dapat menegaskan ID pengguna dan grup saat mengakses sistem file jika dapat membuat koneksi jaringan ini.

Apakah Anda dapat membuat koneksi jaringan ini diatur oleh kombinasi berikut ini:

  • Isolasi jaringan yang disediakan oleh VPC target mount- Target pemasangan sistem file tidak dapat memiliki alamat IP publik yang terkait dengannya. Satu-satunya target yang dapat me-mount sistem file adalah sebagai berikut:

    • Instans Amazon EC2 di Amazon VPC lokal

    • Instans EC2 di VPC yang telah connect

    • Server lokal yang terhubung ke Amazon VPC dengan menggunakanAWS Direct ConnectdanAWS Virtual Private Network(VPN)

  • Daftar kontrol akses jaringan (ACL) untuk subnet VPC klien dan target mount, untuk akses dari luar subnet target mount- Untuk me-mount sistem file, klien harus dapat membuat koneksi TCP ke port NFS dari target mount dan menerima lalu lintas kembali.

  • Aturan grup keamanan VPC klien dan mount target, untuk semua akses- Untuk instans EC2 untuk me-mount sistem file, aturan grup keamanan berikut harus berlaku:

    • Sistem file harus memiliki target mount yang antarmuka jaringannya memiliki grup keamanan dengan aturan yang memungkinkan koneksi masuk pada port NFS dari instance. Anda dapat mengaktifkan koneksi masuk menurut alamat IP (kisaran CIDR) atau grup keamanan. Sumber aturan grup keamanan untuk port NFS masuk pada antarmuka jaringan target mount adalah elemen kunci dari kontrol akses sistem file. Aturan masuk selain yang untuk port NFS, dan aturan keluar apa pun, tidak digunakan oleh antarmuka jaringan untuk target pemasangan sistem file.

    • Instans pemasangan harus memiliki antarmuka jaringan dengan aturan grup keamanan yang memungkinkan koneksi outbound ke port NFS pada salah satu sistem file target pemasangan. Anda dapat mengaktifkan koneksi outbound menurut alamat IP (kisaran CIDR) atau grup keamanan.

Untuk informasi selengkapnya, lihat Membuat dan mengelola target mount dan grup keamanan.