翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ネットワークアクセスに関するセキュリティ上の考慮事項
NFS バージョン 4.1 (NFSv4.1) クライアントは、ファイルシステムのマウントターゲットの 1 つのNFSポート (TCPポート 2049) にネットワーク接続できる場合にのみ、ファイルシステムをマウントできます。同様に、NFSv4.1 クライアントは、ファイルシステムにアクセスするときに、このネットワーク接続を行うことができる場合にのみ、ユーザー ID とグループ ID をアサートできます。
このネットワーク接続を行うことができるかどうかは、以下の組み合わせによって管理されます。
-
マウントターゲットによって提供されるネットワーク分離 VPC- ファイルシステムマウントターゲットには、パブリック IP アドレスを関連付けることはできません。ファイルシステムをマウントできる唯一のターゲットは次のとおりです。
-
ローカル Amazon の Amazon EC2インスタンス VPC
-
EC2 接続された のインスタンス VPCs
-
AWS Direct Connect と AWS Virtual Private Network (VPN) VPCを使用して Amazon に接続されたオンプレミスサーバー
-
-
クライアントとマウントターゲットのVPCサブネットのネットワークアクセスコントロールリスト (ACLs)、マウントターゲットのサブネット外からのアクセス – ファイルシステムをマウントするには、クライアントがマウントターゲットのNFSポートTCPに接続してリターントラフィックを受信できる必要があります。
-
すべてのアクセスに対するクライアントおよびマウントターゲットVPCのセキュリティグループのルール — ファイルシステムをマウントするEC2インスタンスの場合、次のセキュリティグループルールを有効にする必要があります。
-
ファイルシステムには、ネットワークインターフェイスに、インスタンスからのNFSポートへのインバウンド接続を有効にするルールを持つセキュリティグループを持つマウントターゲットが必要です。インバウンド接続は、IP アドレス (CIDR 範囲) またはセキュリティグループのいずれかで有効にできます。マウントターゲットネットワークインターフェイスのインバウンドNFSポートのセキュリティグループルールのソースは、ファイルシステムアクセスコントロールの重要な要素です。NFS ポートの 以外のインバウンドルールやアウトバウンドルールは、ファイルシステムマウントターゲットのネットワークインターフェイスでは使用されません。
-
マウントインスタンスには、ファイルシステムのマウントターゲットの 1 つ上のNFSポートへのアウトバウンド接続を有効にするセキュリティグループルールを持つネットワークインターフェイスが必要です。IP アドレス (CIDR 範囲) またはセキュリティグループのいずれかでアウトバウンド接続を有効にすることができます。
-
詳細については、「マウントターゲットの管理」を参照してください。