Kendali Akses Sistem File dengan Amazon VPC - Amazon FSx for Windows File Server
Grup Keamanan Amazon VPCACL Jaringan Amazon VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kendali Akses Sistem File dengan Amazon VPC

Anda mengakses sistem file Amazon FSx Anda melalui antarmuka jaringan elastis. Antarmuka jaringan ini berdiam di virtual private cloud (VPC) berdasarkan layanan Amazon Virtual Private Cloud (Amazon VPC) yang Anda kaitkan dengan sistem file Anda. Anda hubungkan ke sistem file Amazon FSx Anda melalui nama Layanan Nama Domain (DNS). Nama DNS memetakan ke alamat IP privat dari antarmuka jaringan elastis dari sistem file di VPC Anda. Hanya sumber daya dalam VPC terkait, sumber daya yang terhubung dengan VPC terkait oleh AWS Direct Connect atau VPN, atau sumber daya dalam VPC peered yang dapat mengakses antarmuka jaringan sistem file Anda. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Amazon VPC? dalam Panduan Pengguna Amazon VPC.

Awas

Anda tidak harus mengubah atau menghapus antarmuka jaringan elastis yang dikaitkan dengan sistem file Anda. Memodifikasi atau menghapus antarmuka jaringan dapat menyebabkan hilangnya koneksi secara permanen antara VPC Anda dan sistem file Anda.

FSx for Windows File Server mendukung berbagi VPC, yang memungkinkan Anda untuk melihat, membuat, memodifikasi, dan menghapus sumber daya dalam subnet bersama di VPC yang dimiliki oleh akun lain. AWS Untuk informasi lebih lanjut, lihat Bekerja dengan VPC Bersama dalam Panduan Pengguna Amazon VPC.

Grup Keamanan Amazon VPC

Untuk lebih mengontrol lalu lintas jaringan melalui elastic network interface (s) sistem file Anda dalam VPC Anda, gunakan grup keamanan untuk membatasi akses ke sistem file Anda. Grup keamanan adalah firewall stateful yang mengendalikan lalu lintas ke dan dari antarmuka jaringan yang dikaitkan padanya. Dalam hal ini, sumber daya terkait adalah antarmuka jaringan sistem file Anda.

Untuk menggunakan grup keamanan untuk mengontrol akses ke sistem file Amazon FSx Anda, tambahkan aturan jalur masuk dan keluar. Aturan jalur masuk mengendalikan lalu lintas yang masuk, dan aturan jalur keluar mengendalikan lalu lintas yang keluar dari sistem file Anda. Pastikan bahwa Anda memiliki aturan lalu lintas jaringan yang tepat di grup keamanan Anda untuk memetakan Berbagi file dari sistem file Amazon FSx Anda ke sebuah folder di instans komputasi yang di-support milik Anda.

Untuk informasi selengkapnya tentang aturan grup keamanan, lihat Aturan Grup Keamanan di Panduan Pengguna Amazon EC2.

Untuk membuat grup keamanan untuk Amazon FSx

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2.

  2. Di panel navigasi, pilih Grup Keamanan.

  3. Pilih Create Security Group (Buat Grup Keamanan).

  4. Tentukan nama dan deskripsi untuk grup keamanan.

  5. Untuk VPC, pilih Amazon VPC yang ter-associate dengan sistem file Anda untuk membuat grup keamanan dalam VPC tersebut.

  6. Tambahkan aturan berikut untuk memungkinkan lalu lintas jaringan jalur keluar pada port berikut:

    1. Untuk Grup keamanan VPC, grup keamanan default untuk Amazon VPC default Anda sudah ditambahkan ke sistem file Anda di konsol. Pastikan bahwa grup keamanan dan ACL Jaringan VPC untuk subnet(-subnet) tempat Anda membuat sistem file FSx Anda mengizinkan lalu lintas pada port dan dengan arah yang ditunjukkan dalam diagram berikut.

      Persyaratan konfigurasi port FSx for Windows File Server untuk grup keamanan VPC dan ACL jaringan untuk subnet tempat sistem file dibuat.

      Tabel berikut mengidentifikasi peran masing-masing port.

      Protokol

      Port

      Peran

      TCP/UDP

      53

      Sistem Nama Domain (DNS)

      TCP/UDP

      88

      Autentikasi Kerberos

      TCP/UDP

      464

      Ubah/Atur kata sandi

      TCP/UDP

      389

      Protokol Akses Direktori Ringan (LDAP)
      UDP 123

      Protokol Waktu Jaringan (NTP)
      TCP 135

      Lingkungan Komputasi Terdistribusi/Pemeta Titik Akhir (DCE/EPMAP)

      TCP

      445

      Pembagian file SMB Layanan Direktori

      TCP

      636

      Protokol Akses Direktori Ringan melalui TLS/SSL (LDAPS)

      TCP

      3268

      Katalog Global Microsoft

      TCP

      3269

      Katalog Global Microsoft melalui SSL

      TCP

      5985

      WinRM 2.0 (Pengelolaan Jarak Jauh Microsoft Windows)

      TCP

      9389

      Layanan Web Microsoft AD DS, PowerShell

      TCP

      49152 - 65535

      Port ephemeral untuk RPC
      penting

      Mengizinkan lalu lintas keluar pada TCP port 9389 diperlukan untuk Aingle-AZ 2 dan semua deployment sistem file Multi-AZ.

    2. Pastikan bahwa aturan lalu lintas ini juga dicerminkan pada firewall yang berlaku untuk masing-masing pengendali domain AD, server DNS, klien FSx dan administrator FSx.

      penting

      Ketika grup keamanan Amazon VPC memerlukan port untuk dibuka hanya ke arah saat jaringan lalu lintas dimulai, sebagian besar firewall Windows dan ACL jaringan VPC memerlukan port untuk terbuka ke kedua arah.

    catatan

    Jika Anda memiliki situs Direktori Aktif yang terdefinisikan, Anda harus yakin bahwa subnet di VPC yang dikaitkan dengan sistem file Amazon FSx Anda terdefinisikan dalam situs Direktori Aktif, dan bahwa tidak terdapat konflik antara subnet di VPC Anda dengan subnet di situs lain. Anda dapat melihat dan mengubah pengaturan ini menggunakan Situs dan Layanan Direktori Aktif snap-in MMC.

    catatan

    Dalam beberapa kasus, Anda mungkin telah mengubah aturan grup keamanan AWS Managed Microsoft AD dari pengaturan default. Jika demikian, pastikan bahwa grup keamanan ini memiliki aturan masuk yang diperlukan untuk mengizinkan lalu lintas dari sistem file Amazon FSx Anda. Untuk informasi selengkapnya tentang aturan jalur masuk yang diperlukan, lihat Prasyarat AWS Managed Microsoft AD dalam Panduan Administrasi AWS Directory Service .

Sekarang setelah Anda membuat grup keamanan, Anda dapat mengaitkannya dengan elastic network interface sistem file Amazon FSx Anda.

Untuk mengaitkan grup keamanan untuk Sistem file Amazon FSx Anda

  1. Buka konsol Amazon FSx di https://console.aws.amazon.com/fsx/.

  2. Pada dasbor, pilih sistem file Anda untuk melihat detailnya.

  3. Pilih tab Jaringan & Keamanan, dan pilih antarmuka jaringan sistem file Anda; misalnya, ENI-01234567890123456. Untuk sistem file Single-AZ, Anda akan melihat antarmuka jaringan tunggal. Untuk sistem file Multi-AZ, Anda akan melihat satu antarmuka jaringan di subnet Preferred dan satu di subnet Standby.

  4. Untuk setiap antarmuka jaringan, pilih antarmuka jaringan dan dalam Tindakan, pilih Ubah Grup Keamanan.

  5. Dalam kotak dialog Ubah Grup Keamanan, pilih grup keamanan yang akan digunakan, lalu pilih Simpan.

Melarang Akses ke Sistem File

Untuk sementara melarang akses jaringan ke sistem file Anda dari semua klien, Anda dapat menghapus semua grup keamanan yang dikaitkan dengan antarmuka jaringan elastis dari sistem file Anda dan menggantinya dengan grup yang tidak memiliki aturan jalur masuk/jalur keluar.

ACL Jaringan Amazon VPC

Pilihan lain untuk mengamankan akses ke sistem file dalam VPC Anda adalah dengan menetapkan daftar kontrol akses jaringan (ACL jaringan). ACL jaringan terpisah dari grup keamanan, tetapi memiliki fungsionalitas yang sama untuk menambahkan lapisan keamanan tambahan untuk sumber daya di VPC Anda. Untuk informasi selengkapnya tentang ACL jaringan, lihat ACL Jaringan dalam Panduan Pengguna Amazon VPC.