セキュリティグループの作成 - Amazon Elastic File System

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティグループの作成

Amazon EC2 インスタンスとマウントターゲットの両方に関連付けられているセキュリティグループがあります。これらのセキュリティグループは相互のトラフィックを制御する仮想ファイアウォールとして機能します。マウントターゲットの作成時にセキュリティグループを提供しない場合、Amazon EFS は VPC のデフォルトのセキュリティグループをそのマウントターゲットに関連付けます。

ただし、EC2 インスタンスとマウントターゲット (したがって、ファイルシステム) の間のトラフィックを有効にするには、これらのセキュリティグループに次のルールを設定する必要があります。

  • マウントターゲットに関連付けるセキュリティグループは、ファイルシステムをマウントするすべての EC2 インスタンスから、NFS ポート上の TCP プロトコルへのインバウンドアクセスを許可する必要があります。

  • ファイルシステムをマウントする各 EC2 インスタンスには、NFS ポート上のマウントターゲットへのアウトバウンドアクセスを許可するセキュリティグループが必要です。

EFS ファイルシステムのマウントターゲットに関連付けられているセキュリティグループを変更するには、「マウントターゲットの管理」を参照してください。

セキュリティグループの詳細については、Amazon EC2 ユーザーガイド」の「Linux インスタンス用の Amazon EC2 セキュリティグループAmazon EC2」を参照してください。

注記

次のセクションは Amazon EC2 に固有のもので、Amazon EFS ファイルシステムをマウントしたどのインスタンスにでも Secure Shell (SSH) を使用して接続できるようにセキュリティグループを作成する方法について説明します。Amazon EC2 インスタンスへの接続に SSH を使用していない場合は、このセクションをスキップできます。

を使用して AWS Management Console 、VPC にセキュリティグループを作成できます。Amazon EC2 インスタンスに Amazon EFS ファイルシステムを接続するには、Amazon EC2 インスタンス用と Amazon EFS マウントターゲット用の 2 つのセキュリティグループを作成する必要があります。

  1. VPC に 2 つのセキュリティグループを作成します。手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループの作成」を参照してください。

  2. VPC コンソールで、これらのセキュリティグループのデフォルトルールを確認します。どちらのセキュリティグループにも、トラフィックが出ていくことを許可するアウトバウンドルールのみが設定されている必要があります。

  3. 以下のように、セキュリティグループへの追加のアクセスを承認する必要があります。

    1. 次に示すように、EC2 セキュリティグループにルールを追加して、ポート 22 のインスタンスへの SSH アクセスを許可します。これは、PuTTY などの SSH クライアントを使用して EC2 インスタンスに接続し、ターミナルインターフェイスを介して EC2 インスタンスを管理する場合に便利です。オプションで、[Source (ソース)] アドレスを制限することができます。

      手順については、「Amazon VPC ユーザーガイド」の「セキュリティグループにルールを追加する」を参照してください。

    2. TCP ポート 2049 で EC2securityグループからのインバウンドアクセスを許可するルールをマウントターゲットセキュリティグループに追加します。ソースとして割り当てられたセキュリティグループは、EC2 インスタンスに関連付けられたセキュリティグループです。

      ファイルシステムのマウントターゲットに関連付けられているセキュリティグループを表示するには、EFS コンソールで、ファイルシステムの詳細ページの [ネットワーク] タブを選択します。詳細については、「マウントターゲットの管理」を参照してください。

    注記

    デフォルトのアウトバウンドルールですべてのトラフィックを残すことができるためアウトバウンドルールを追加する必要はありません。(デフォルトの送信ルールを削除する場合は、NFS ポートで TCP 接続を開く送信ルールを追加し、マウント対象のセキュリティグループを送信先として特定する必要があります)。

  4. このセクションで説明されているように、両方のセキュリティグループがインバウンドとアウトバウンドのアクセスを許可できるようになったことを確認します。

を使用してセキュリティグループを作成する方法の例については AWS CLI、「」を参照してくださいステップ 1: Amazon EC2 リソースを作成する