セキュリティグループの作成 - Amazon Elastic File System

セキュリティグループの作成

Amazon EC2 インスタンスとマウントターゲットの両方に関連付けられているセキュリティグループがあります。これらのセキュリティグループは相互のトラフィックを制御する仮想ファイアウォールとして機能します。マウントターゲットの作成時にセキュリティグループを提供しない場合、Amazon EFS は VPC のデフォルトのセキュリティグループをそのマウントターゲットに関連付けます。

ただし、EC2 インスタンスとマウントターゲット (したがって、ファイルシステム) の間のトラフィックを有効にするには、これらのセキュリティグループに次のルールを設定する必要があります。

  • マウントターゲットに関連付けるセキュリティグループは、ファイルシステムをマウントするすべての EC2 インスタンスから、NFS ポート上の TCP プロトコルへのインバウンドアクセスを許可する必要があります。

  • ファイルシステムをマウントする各 EC2 インスタンスには、NFS ポート上のマウントターゲットへのアウトバウンドアクセスを許可するセキュリティグループが必要です。

EFS ファイルシステムのマウントターゲットに関連付けられているセキュリティグループを変更するには、「マウントターゲットの管理」を参照してください。

セキュリティグループの詳細については、「Amazon EC2 ユーザーガイド」の「Linux インスタンス用の Amazon EC2 セキュリティグループ」を参照してください。

注記

次のセクションは Amazon EC2 に固有のもので、Amazon EFS ファイルシステムをマウントしたどのインスタンスにでも Secure Shell (SSH) を使用して接続できるようにセキュリティグループを作成する方法について説明します。Amazon EC2 インスタンスへの接続に SSH を使用していない場合は、このセクションをスキップできます。

AWS Management Console を使用して、VPC にセキュリティグループを作成できます。Amazon EC2 インスタンスに Amazon EFS ファイルシステムを接続するには、Amazon EC2 インスタンス用と Amazon EFS マウントターゲット用の 2 つのセキュリティグループを作成する必要があります。

  1. VPC に 2 つのセキュリティグループを作成します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループの作成」を参照してください。

  2. VPC コンソールで、これらのセキュリティグループのデフォルトルールを確認します。どちらのセキュリティグループにも、トラフィックが出ていくことを許可するアウトバウンドルールのみが設定されている必要があります。

  3. 以下のように、セキュリティグループへの追加のアクセスを承認する必要があります。

    1. 次に示すように、EC2 セキュリティグループにルールを追加して、ポート 22 のインスタンスへの SSH アクセスを許可します。これは、PuTTY などの SSH クライアントを使用して EC2 インスタンスに接続し、ターミナルインターフェイスを介して EC2 インスタンスを管理する場合に便利です。オプションで、[Source (ソース)] アドレスを制限することができます。

      手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループへのルールの追加」を参照してください。

    2. マウントターゲットのセキュリティグループに、TCP port 2049 で EC2 セキュリティグループからのインバウンドアクセスを許可するルールを追加します。[ソース] として割り当てるセキュリティグループが、EC2 インスタンスに関連付けられているセキュリティグループです。

      ファイルシステムのマウントターゲットに関連付けられているセキュリティグループを表示するには、EFS コンソールで、ファイルシステムの詳細ページの [ネットワーク] タブを選択します。詳細については、「マウントターゲットの管理」を参照してください。

    注記

    デフォルトのアウトバウンドルールですべてのトラフィックを残すことができるためアウトバウンドルールを追加する必要はありません。(デフォルトの送信ルールを削除する場合は、NFS ポートで TCP 接続を開く送信ルールを追加し、マウント対象のセキュリティグループを送信先として特定する必要があります)。

  4. このセクションで説明されているように、両方のセキュリティグループがインバウンドとアウトバウンドのアクセスを許可できるようになったことを確認します。

AWS CLI を使用してセキュリティグループを作成する方法の例については、「ステップ 1: EC2 リソースを作成する」を参照してください。