Creazione dei gruppi di sicurezza

Sia un'EC2istanza Amazon che un target di montaggio hanno gruppi di sicurezza associati. Questi gruppi di sicurezza fungono da firewall virtuale che controlla il traffico tra di essi. Se non fornisci un gruppo di sicurezza durante la creazione di un target di montaggio, Amazon EFS gli associa il VPC gruppo di sicurezza predefinito.

In ogni caso, per abilitare il traffico tra un'EC2istanza e un target di montaggio (e quindi il file system), devi configurare le seguenti regole in questi gruppi di sicurezza:

• I gruppi di sicurezza associati a un target di montaggio devono consentire l'accesso in entrata al TCP protocollo sulla NFS porta da tutte le EC2 istanze su cui si desidera montare il file system.

• Ogni EC2 istanza che installa il file system deve disporre di un gruppo di sicurezza che consenta l'accesso in uscita alla destinazione di montaggio sulla porta. NFS

Per modificare i gruppi di sicurezza associati alle destinazioni di montaggio dei EFS file system, consulta. Gestione dei target di montaggio

Per ulteriori informazioni sui gruppi di sicurezza, consulta i gruppi EC2 di sicurezza Amazon per le istanze Linux nella Amazon EC2 User Guide.

Nota

La sezione seguente è specifica per Amazon EC2 e spiega come creare gruppi di sicurezza in modo da poter utilizzare Secure Shell (SSH) per connetterti a qualsiasi istanza su cui sono montati EFS file system Amazon. Se non utilizzi SSH per connetterti alle tue EC2 istanze Amazon, puoi saltare questa sezione.

Crea un gruppo di sicurezza (console)

Puoi utilizzare il AWS Management Console per creare gruppi di sicurezza nel tuoVPC. Per connettere il tuo EFS file system Amazon alla tua EC2 istanza Amazon, devi creare due gruppi di sicurezza: uno per l'EC2istanza Amazon e l'altro per il tuo target di EFS montaggio Amazon.

1. Crea due gruppi di sicurezza nel tuoVPC. Per istruzioni, consulta Creare un gruppo di sicurezza nella Amazon VPC User Guide.

2. Nella VPC console, verifica le regole predefinite per questi gruppi di sicurezza. Entrambi i gruppi di sicurezza dovrebbero avere solo una regola in uscita che consente l'uscita del traffico.

3. È necessario autorizzare un accesso aggiuntivo per i gruppi di sicurezza come segue:

   1. Aggiungi una regola al gruppo EC2 di sicurezza per consentire SSH l'accesso all'istanza sulla porta 22, come illustrato di seguito. Ciò è utile se prevedi di utilizzare un SSH client, PuTTY ad esempio per connetterti e amministrare l'EC2istanza tramite un'interfaccia terminale. Facoltativamente, è possibile limitare l'indirizzo Origine.

      Per istruzioni, consulta Aggiungere regole a un gruppo di sicurezza nella Amazon VPC User Guide.

   2. Aggiungi una regola al gruppo di sicurezza Mount Target per consentire l'accesso in entrata dal gruppo EC2 di sicurezza sulla TCP porta 2049. Il gruppo di sicurezza assegnato come origine è il gruppo di sicurezza associato all'EC2istanza.

      Per visualizzare i gruppi di sicurezza associati alle destinazioni di montaggio dei file system, nella EFS console, scegli la scheda Rete nella pagina dei dettagli del file system. Per ulteriori informazioni, consulta Gestione dei target di montaggio.

   Nota

   Non è necessario aggiungere una regola in uscita, perché la regola di default consente l'uscita di tutto il traffico. (Se rimuovi la regola di uscita predefinita, devi aggiungere una regola in uscita per aprire una TCP connessione sulla NFS porta e identificare il gruppo di sicurezza di destinazione del montaggio come destinazione.)

4. Verificare che entrambi i gruppi di sicurezza autorizzino l'accesso in ingresso e in uscita come descritto in questa sezione.

Crea un gruppo di sicurezza ()AWS CLI

Per un esempio che mostra come creare gruppi di sicurezza utilizzando il AWS CLI, vediFase 1: Creare risorse EC2.