セキュリティグループの作成 - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループの作成

Amazon EC2インスタンスとマウントターゲットの両方に、セキュリティグループが関連付けられています。これらのセキュリティグループは相互のトラフィックを制御する仮想ファイアウォールとして機能します。マウントターゲットの作成時にセキュリティグループを指定しない場合、Amazon EFSは のデフォルトのセキュリティグループをVPC関連付けます。

インスタンスEC2とマウントターゲット (つまりファイルシステム) 間のトラフィックを有効にするには、これらのセキュリティグループで次のルールを設定する必要があります。

  • マウントターゲットに関連付けるセキュリティグループは、ファイルシステムをマウントするすべてのEC2インスタンスからのNFSポート上のTCPプロトコルへのインバウンドアクセスを許可する必要があります。

  • ファイルシステムをマウントする各EC2インスタンスには、NFSポート上のマウントターゲットへのアウトバウンドアクセスを許可するセキュリティグループが必要です。

EFS ファイルシステムのマウントターゲットに関連付けられたセキュリティグループを変更するには、「」を参照してくださいマウントターゲットの管理

セキュリティグループの詳細については、「Amazon ユーザーガイド」の「Linux インスタンス用の Amazon EC2 セキュリティグループ」を参照してください。 EC2

注記

次のセクションは Amazon に固有のものでEC2、Secure Shell (SSH) を使用して Amazon EFS ファイルシステムをマウントしたインスタンスに接続できるようにセキュリティグループを作成する方法について説明します。SSH を使用して Amazon EC2インスタンスに接続していない場合は、このセクションをスキップできます。

を使用して AWS Management Console 、 にセキュリティグループを作成できますVPC。Amazon EFS ファイルシステムを Amazon EC2インスタンスに接続するには、2 つのセキュリティグループを作成する必要があります。1 つは Amazon EC2インスタンス用、もう 1 つは Amazon EFSマウントターゲット用です。

  1. に 2 つのセキュリティグループを作成しますVPC。手順については、「Amazon ユーザーガイド」の「セキュリティグループの作成」を参照してください。 VPC

  2. VPC コンソールで、これらのセキュリティグループのデフォルトルールを確認します。どちらのセキュリティグループにも、トラフィックが出ていくことを許可するアウトバウンドルールのみが設定されている必要があります。

  3. 以下のように、セキュリティグループへの追加のアクセスを承認する必要があります。

    1. 次に示すように、ポート 22 のインスタンスSSHへのアクセスを許可するルールをEC2セキュリティグループに追加します。これは、 などのSSHクライアントを使用して、ターミナルインターフェイスを介してEC2インスタンスPuTTYに接続および管理する場合に便利です。オプションで、[Source (ソース)] アドレスを制限することができます。

      手順については、「Amazon ユーザーガイド」の「セキュリティグループにルールを追加する」を参照してください。 VPC

    2. ポート TCP2049 のセキュリティグループからのインバウンドアクセスを許可するルールをマウントターゲットEC2セキュリティグループに追加します。ソースとして割り当てられたセキュリティグループは、EC2インスタンスに関連付けられたセキュリティグループです。

      ファイルシステムのマウントターゲットに関連付けられているセキュリティグループを表示するには、EFSコンソールでファイルシステムの詳細ページのネットワークタブを選択します。詳細については、「マウントターゲットの管理」を参照してください。

    注記

    デフォルトのアウトバウンドルールですべてのトラフィックを残すことができるためアウトバウンドルールを追加する必要はありません。(デフォルトのアウトバウンドルールを削除する場合は、アウトバウンドルールを追加してNFSポートでTCP接続を開き、マウントターゲットセキュリティグループを送信先として識別する必要があります)。

  4. このセクションで説明されているように、両方のセキュリティグループがインバウンドとアウトバウンドのアクセスを許可できるようになったことを確認します。

を使用してセキュリティグループを作成する方法の例については AWS CLI、「」を参照してくださいステップ 1: EC2リソースを作成する