セキュリティグループの作成 - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループの作成

注記

次のセクションは Amazon EC2 に固有のもので、Amazon EFS ファイルシステムをマウントしたどのインスタンスにでも Secure Shell (SSH) を使用して接続できるようにセキュリティグループを作成する方法について説明します。Amazon EC2 インスタンスへの接続に SSH を使用していない場合は、このセクションをスキップできます。

Amazon EC2 インスタンスとマウントターゲットの両方に関連付けられているセキュリティグループがあります。これらのセキュリティグループは相互のトラフィックを制御する仮想ファイアウォールとして機能します。マウントターゲットの作成時にセキュリティグループを提供しない場合、Amazon EFS は VPC のデフォルトのセキュリティグループをそのマウントターゲットに関連付けます。

ただし、EC2 インスタンスとマウントターゲット (したがって、ファイルシステム) の間のトラフィックを有効にするには、これらのセキュリティグループに次のルールを設定する必要があります。

  • マウントターゲットに関連付けるセキュリティグループは、ファイルシステムをマウントするすべての EC2 インスタンスから、NFS ポート上の TCP プロトコルへのインバウンドアクセスを許可する必要があります。

  • ファイルシステムをマウントする各 EC2 インスタンスには、NFS ポート上のマウントターゲットへのアウトバウンドアクセスを許可するセキュリティグループが必要です。

EFS ファイルシステムのマウントターゲットに関連付けられているセキュリティグループを変更するには、マウントターゲットとセキュリティグループの作成と管理

セキュリティグループの詳細については、Linux インスタンス用の Amazon EC2 ユーザーガイドの「Amazon EC2 セキュリティグループ」を参照してください。

AWS Management Console を使用したセキュリティグループの作成

AWS Management Console を使用して、VPC にセキュリティグループを作成できます。Amazon EC2 インスタンスに Amazon EFS ファイルシステムを接続するには、Amazon EC2 インスタンス用と Amazon EFS マウントターゲット用の 2 つのセキュリティグループを作成する必要があります。

  1. VPC に 2 つのセキュリティグループを作成します。手順については、Amazon VPC ユーザーガイド の「セキュリティグループの作成」を参照してください。

  2. VPC コンソールで、これらのセキュリティグループのデフォルトルールを確認します。両方のセキュリティグループは、トラフィックが出ていくのを許可するアウトバウンドルールのみが設定されている必要があります。

  3. 以下のように、セキュリティグループへの追加のアクセスを承認する必要があります。

    1. 次に示すように、EC2 セキュリティグループにルールを追加して、ポート 22 のインスタンスへの SSH アクセスを許可します。これは、PuTTY などの SSH クライアントを使用して EC2 インスタンスに接続し、ターミナルインターフェイスを介して EC2 インスタンスを管理する場合に便利です。オプションで、[Source (ソース)] アドレスを制限することができます。

      手順については、Amazon VPC ユーザーガイド の「ルールを追加または削除する」を参照してください。

    2. TCP ポート 2049 で、EC2 セキュリティグループからのインバウンドアクセスを許可するルールをマウントターゲットのセキュリティグループに追加します。のセキュリティグループソースcolumn は、EC2 インスタンスに関連付けられたセキュリティグループです。

      ファイルシステムのマウントターゲットに関連付けられているセキュリティグループを表示するには、EFS コンソールでネットワークファイルシステムの詳細ページのタブ。詳細については、「マウントターゲットとセキュリティグループの作成と管理」を参照してください。

    注記

    デフォルトのアウトバウンドルールですべてのトラフィックを残すことができるため、アウトバウンドルールを追加する必要はありません (それ以外の場合は、アウトバウンドルールを追加して、NFS ポートで TCP 接続を開き、マウントターゲットのセキュリティグループを送信先として識別する必要があります)。

  4. このセクションで説明されているように、両方のセキュリティグループがインバウンドとアウトバウンドのアクセスを許可できるようになったことを確認します。

AWS CLI を使用したセキュリティグループの作成

AWS CLI を使用してセキュリティグループを作成する方法の例については、「ステップ 1: Amazon EC2 リソースを作成する」を参照してください。