Pertimbangan keamanan untuk akses jaringan - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan keamanan untuk akses jaringan

Klien NFS versi 4.1 (NFSv4.1) hanya dapat memasang sistem file jika dapat membuat koneksi jaringan ke port NFS (port TCP 2049) dari salah satu target pemasangan sistem file. Demikian pula, klien NFSv4.1 hanya dapat menegaskan ID pengguna dan grup saat mengakses sistem file jika dapat membuat koneksi jaringan ini.

Apakah Anda dapat membuat koneksi jaringan ini diatur oleh kombinasi berikut ini:

  • Isolasi jaringan yang disediakan oleh VPC target mount — Target pemasangan sistem file tidak dapat memiliki alamat IP publik yang terkait dengannya. Satu-satunya target yang dapat me-mount sistem file adalah sebagai berikut:

    • Instans Amazon EC2 di VPC Amazon lokal

    • Instans EC2 di VPC yang terhubung

    • Server lokal yang terhubung ke VPC Amazon dengan AWS Direct Connect menggunakan dan (VPN AWS Virtual Private Network )

  • Daftar kontrol akses jaringan (ACL) untuk subnet VPC klien dan target mount, untuk akses dari luar subnet target mount — Untuk memasang sistem file, klien harus dapat membuat koneksi TCP ke port NFS dari target mount dan menerima lalu lintas kembali.

  • Aturan grup keamanan VPC klien dan target mount, untuk semua akses — Agar instans EC2 memasang sistem file, aturan grup keamanan berikut harus berlaku:

    • Sistem file harus memiliki target mount yang antarmuka jaringannya memiliki grup keamanan dengan aturan yang memungkinkan koneksi masuk pada port NFS dari instance. Anda dapat mengaktifkan koneksi masuk baik dengan alamat IP (rentang CIDR) atau grup keamanan. Sumber aturan grup keamanan untuk port NFS masuk pada antarmuka jaringan target mount adalah elemen kunci dari kontrol akses sistem file. Aturan masuk selain yang untuk port NFS, dan aturan keluar apa pun, tidak digunakan oleh antarmuka jaringan untuk target pemasangan sistem file.

    • Instans pemasangan harus memiliki antarmuka jaringan dengan aturan grup keamanan yang memungkinkan koneksi keluar ke port NFS pada salah satu target pemasangan sistem file. Anda dapat mengaktifkan koneksi outbound menurut alamat IP (kisaran CIDR) atau grup keamanan.

Untuk informasi selengkapnya, lihat Membuat dan mengelola target mount dan grup keamanan.