Amazon VPC を使用したファイルシステムアクセスコントロール - Amazon FSx for Windows File Server

Amazon VPC を使用したファイルシステムアクセスコントロール

Elastic Network Interface を介して Amazon FSx のファイルシステムにアクセスします。このネットワークインターフェイスは、ファイルシステムに関連付ける Amazon Virtual Private Cloud (Amazon VPC) サービスに基づく仮想プライベートクラウド (VPC) に存在します。ドメインネームサービス (DNS) 名を介して Amazon FSx ファイルシステムに接続します。DNS 名は、VPC 内のファイルシステムの Elastic Network Interface のプライベート IP アドレスにマッピングされます。ファイルシステムのネットワークインターフェイスにアクセスできるのは、関連付けられた VPC 内のリソース、AWS Direct Connect または VPN によって関連付けられた VPC に接続されたリソース、またはピアリングされた VPC 内のリソースのみです。詳細については、「Amazon VPCユーザーガイド」の「Amazon VPCとは?」を参照してください。

警告

ファイルシステムに関連付けられている Elastic Network Interface を変更または削除してはいけません。ネットワークインターフェイスを変更または削除すると、VPC とファイルシステム間の接続が完全に失われる可能性があります。

FSx for Windows ファイルサーバーは VPC 共有をサポートしています。これにより、別の AWS アカウントが所有する VPC の共有サブネット内のリソースを表示、作成、変更、および削除できます。詳細については、「Amazon VPC ユーザーガイド」の「共有VPCの操作」を参照してください。

Amazon VPC セキュリティグループ

VPC 内のファイルシステムの Elastic Network Interface を通過するネットワークトラフィックをさらにコントロールするには、セキュリティグループを使用してファイルシステムへのアクセスを制限します。セキュリティグループ は、関連するネットワークインターフェイスとの間のトラフィックをコントロールするステートフルファイアウォールです。この場合、関連するリソースはファイルシステムのネットワークインターフェイスです。

セキュリティグループを使用して Amazon FSx ファイルシステムへのアクセスをコントロールするには、インバウンドとアウトバウンドのルールを追加します。インバウンドルールは受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。Amazon FSx ファイルシステムのファイル共有を、サポートされているコンピュートインスタンス上のフォルダーにマッピングするため、適切なネットワークトラフィックルールがセキュリティグループにあることを確認します。

セキュリティグループの詳細については、「Amazon EC2 ユーザーガイド」の「セキュリティグループルール」を参照してください。

Amazon FSx のセキュリティグループを作成するには
  1. https://console.aws.amazon.com/ec2 で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[セキュリティグループ] を選択します。

  3. [Create Security Group] (セキュリティグループの作成) を選択します。

  4. セキュリティグループの名前と説明を指定します。

  5. VPC については、ファイルシステムに関連付けられている Amazon VPC を選択して、その VPC 内にセキュリティグループを作成します。

  6. 以下のルールを追加して、次のポートでアウトバウンドネットワークトラフィックを許可します。

    1. VPC セキュリティグループ の場合、デフォルトの Amazon VPC のデフォルトのセキュリティグループは、コンソールのファイルシステムにすでに追加されています。FSx ファイルシステムを作成しているサブネットのセキュリティグループと VPC ネットワーク ACL が、次の図表に示す方向のポートでのトラフィックを許可していることを確認してください。

      FSx for Windows ファイルサーバーの VPC セキュリティグループのポート設定要件と、ファイルシステムが作成されているサブネットのネットワーク ACL。

      以下の表に、各ポートのロールを示します。

      プロトコル

      ポート

      ロール

      TCP / UDP

      53

      ドメインネームシステム (DNS)

      TCP / UDP

      88

      Kerberos 認証

      TCP / UDP

      464

      パスワードを変更 / 設定する

      TCP / UDP

      389

      Lightweight Directory Access Protocol (LDAP)

      UDP 123

      Network Time Protocol (NTP)

      TCP 135

      Distributed Computing Environment / End Point Mapper (DCE / EPMAP)

      TCP

      445

      Directory Services SMB ファイル共有

      TCP

      636

      TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)

      TCP

      3268

      Microsoft グローバルカタログ

      TCP

      3269

      SSL 経由の Microsoft グローバルカタログ

      TCP

      5985

      WinRM 2.0 (Microsoft Windows リモート管理)

      TCP

      9389

      Microsoft AD DS ウェブサービス、PowerShell

      TCP

      49152 - 65535

      RPC 用のエフェメラルポート

      重要

      シングル AZ2 およびすべてのマルチ AZ ファイルシステムのデプロイには、TCP ポート 9389 でのアウトバウンドトラフィックを許可する必要があります。

    2. これらのトラフィックルールが、AD ドメインコントローラー、DNS サーバー、FSx クライアント、および FSx 管理者のそれぞれに適用されるファイアウォールにも反映されていることを確認してください。

      重要

      Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向にのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとVPCネットワーク ACL では、ポートを両方向に開く必要があります。

    注記

    アクティブディレクトリのサイトを定義している場合は、Amazon FSx ファイルシステムに関連付けられている VPC のサブネットがアクティブディレクトリサイトで定義されていること、および VPC のサブネットおよび他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。これらの設定は、アクティブディレクトリのサイトとサービス MMC スナップインを使用して表示および変更できます。

    注記

    場合によっては、AWS Managed Microsoft AD セキュリティグループのルールをデフォルト設定から変更した可能性があります。その場合、このセキュリティグループに Amazon FSx ファイルシステムからのトラフィックを許可するために必要なインバウンドルールがあることを確認してください。必要なインバウンドルールの詳細については、「AWS Directory Service 管理ガイド」の「AWS Managed Microsoft AD 前提条件」を参照してください。

セキュリティグループを作成したので、それを Amazon FSx ファイルシステムの Elastic Network Interface に関連付けることができます。

セキュリティグループを Amazon FSx ファイルシステムに関連付けるには
  1. https://console.aws.amazon.com/fsx/で Amazon FSx コンソールを開きます。

  2. ダッシュボードで、ファイルシステムを選択して詳細を表示します。

  3. [Network & Security] (ネットワークとセキュリティ) タブを選択し、ファイルシステムのネットワークインターフェイス (例えば、[ENI-01234567890123456]) を選択します。シングル AZ ファイルシステムの場合、1 つのネットワークインターフェイスが表示されます。マルチ AZ ファイルシステムの場合、優先サブネットとスタンバイサブネットに 1 つずつ、ネットワークインターフェイスが表示されます。

  4. ネットワークインターフェイスごとにネットワークインターフェイスを選択し、[Actions] (アクション) で [Change Security Groups] (セキュリティグループを変更) を選択します。

  5. [Change Security Groups] (セキュリティグループの変更) ダイアログボックスで、使用するセキュリティグループを選択し、[Save] (保存) を選択します。

ファイルシステムへのアクセスを停止する

すべてのクライアントからファイルシステムへのネットワークアクセスを一時的に禁止するには、ファイルシステムの Elastic Network Interface に関連付けられているすべてのセキュリティグループを削除し、インバウンド / アウトバウンドルールのないグループに置き換えます。

Amazon VPC ネットワーク ACL

VPC 内のファイルシステムへのアクセスを保護するためのもう 1 つのオプションは、ネットワークアクセスコントロールリスト (ネットワーク ACL) を確立することです。ネットワーク ACL はセキュリティグループとは別のものですが、VPC のリソースにセキュリティのレイヤーを追加するための同様の機能があります。ネットワーク ACL の詳細については、「Amazon VPC ユーザーガイド」の「ネットワーク ACL」を参照してください。