Amazon FSx for Windows File Server - Amazon Elastic Container Service
Controllo di sicurezza e accessoCasi d'uso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon FSx for Windows File Server

Amazon FSx for Windows File Server offre storage di file completamente gestito, altamente affidabile e scalabile accessibile tramite il protocollo SMB (Server Message Block) standard del settore. È basato su Windows Server e offre un'ampia gamma di funzionalità amministrative, quali le quote utente, il ripristino dei file dell'utente finale e l'integrazione con Microsoft Active Directory (AD). Offre opzioni di implementazione singola e multiAZ, backup completamente gestiti e crittografia dei dati inattivi e in transito.

Amazon ECS supporta l'utilizzo di Amazon FSx for Windows File Server nelle definizioni delle attività di Amazon ECS Windows che consentono l'archiviazione persistente come punto di montaggio tramite protocollo SMBv3 utilizzando una funzione SMB chiamata GlobalMapping.

Per configurare l'integrazione Amazon FSx for Windows File Server e Amazon ECS, l'istanza del contenitore di Windows deve essere un membro di dominio in un servizio di dominio Active Directory, ospitato da unAWS Directory Service for Microsoft Active Directory, Active Directory locale o Active Directory self-hosted su Amazon EC2.AWS Secrets Managerviene utilizzato per archiviare dati sensibili come il nome utente e la password di una credenziale di Active Directory che viene utilizzata per mappare la condivisione nell'istanza del contenitore di Windows.

Per utilizzare Amazon FSx for Windows File Server per i volumi di file system per i container, devi specificare le configurazioni del volume e del punto di montaggio nella definizione dell'attività. Di seguito è riportato un frammento di una definizione di attività che utilizza Amazon FSx for Windows File Server per l'archiviazione di container.

{
	"containerDefinitions": [{
		"name": "container-using-fsx",
		"image": "iis:2",
		"entryPoint": [
			"powershell",
			"-command"
		],
		"mountPoints": [{
			"sourceVolume": "myFsxVolume",
			"containerPath": "\\mount\\fsx",
			"readOnly": false
		}]
	}],
	"volumes": [{
		"fsxWindowsFileServerVolumeConfiguration": {
			"fileSystemId": "fs-ID",
			"authorizationConfig": {
				"domain": "ADDOMAIN.local",
				"credentialsParameter": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName"
			},
			"rootDirectory": "share"
		}
	}]
}

Per ulteriori informazioni, consultaVolumi Amazon FSx for Windows File ServernellaGuida per sviluppatori Amazon Elastic Container Service: .

Controllo di sicurezza e accesso

Amazon FSx for Windows File Server offre le seguenti funzioni di controllo dell'accesso che puoi utilizzare per garantire che i dati memorizzati in un file system Amazon FSx for Windows File Server siano protetti e accessibili solo dalle applicazioni che ne necessitano.

Crittografia dei dati

Amazon FSx for Windows File Server supporta due forme di crittografia per i file system. Sono la crittografia dei dati in transito e la crittografia dei dati memorizzati su disco. La crittografia dei dati in transito è supportata nelle condivisioni file mappate su un'istanza contenitore che supporta il protocollo SMB 3.0 o versioni successive. La crittografia dei dati inattivi viene abilitata automaticamente quando si crea un file system Amazon FSx. Amazon FSx crittografa automaticamente i dati in transito utilizzando la crittografia SMB durante l'accesso al file system senza la necessità di modificare le applicazioni. Per ulteriori informazioni, consultaCrittografia dei dati in Amazon FSxnellaGuida per l'utente di Amazon FSx for Windows File Server: .

Controllo di accesso a livello di cartella tramite ACL di Windows

L'istanza di Windows Amazon EC2 accede alle condivisioni file Amazon FSx utilizzando le credenziali di Active Directory. Utilizza elenchi di controllo di accesso (ACL) standard di Windows per il controllo di accesso a grana fine a livello di file e cartella. È possibile creare più credenziali, ognuna per una cartella specifica all'interno della condivisione che esegue il mapping a un'attività specifica.

Nell'esempio seguente, l'attività ha accesso alla cartellaApp01utilizzando una credenziale salvata in Secrets Manager. Il suo Amazon Resource Name (ARN) è1234: .

"rootDirectory": "\\path\\to\\my\\data\App01",
"credentialsParameter": "arn-1234",
"domain": "corp.fullyqualified.com",

In un altro esempio, un'attività ha accesso alla cartellaApp02utilizzando una credenziale salvata in Secrets Manager. Il suo ARN è 6789.

"rootDirectory": "\\path\\to\\my\\data\App02",
"credentialsParameter": "arn-6789",
"domain": "corp.fullyqualified.com",

Casi d'uso

I contenitori non sono progettati per mantenere i dati. Tuttavia, alcune applicazioni .NET containerizzate potrebbero richiedere cartelle locali come archiviazione persistente per salvare gli output dell'applicazione. Amazon FSx for Windows File Server offre una cartella locale nel container. Ciò consente a più contenitori di leggere e scrivere sullo stesso file system supportato da una condivisione SMB.