Amazon VPC を使用したファイルシステムアクセスコントロール
Elastic Network Interface を介して Amazon FSx のファイルシステムにアクセスします。このネットワークインターフェイスは、ファイルシステムに関連付ける Amazon Virtual Private Cloud (Amazon VPC) サービスに基づく仮想プライベートクラウド (VPC) に存在します。ドメインネームサービス (DNS) 名を介して Amazon FSx ファイルシステムに接続します。DNS 名は、VPC 内のファイルシステムの Elastic Network Interface のプライベート IP アドレスにマッピングされます。ファイルシステムのネットワークインターフェイスにアクセスできるのは、関連付けられた VPC 内のリソース、AWS Direct Connect または VPN によって関連付けられた VPC に接続されたリソース、またはピアリングされた VPC 内のリソースのみです。詳細については、「Amazon VPCユーザーガイド」の「Amazon VPCとは?」を参照してください。
警告
ファイルシステムに関連付けられている Elastic Network Interface を変更または削除してはいけません。ネットワークインターフェイスを変更または削除すると、VPC とファイルシステム間の接続が完全に失われる可能性があります。
FSx for Windows ファイルサーバーは VPC 共有をサポートしています。これにより、別の AWS アカウントが所有する VPC の共有サブネット内のリソースを表示、作成、変更、および削除できます。詳細については、「Amazon VPC ユーザーガイド」の「共有VPCの操作」を参照してください。
Amazon VPC セキュリティグループ
VPC 内のファイルシステムの Elastic Network Interface を通過するネットワークトラフィックをさらにコントロールするには、セキュリティグループを使用してファイルシステムへのアクセスを制限します。セキュリティグループ は、関連するネットワークインターフェイスとの間のトラフィックをコントロールするステートフルファイアウォールです。この場合、関連するリソースはファイルシステムのネットワークインターフェイスです。
セキュリティグループを使用して Amazon FSx ファイルシステムへのアクセスをコントロールするには、インバウンドとアウトバウンドのルールを追加します。インバウンドルールは受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。Amazon FSx ファイルシステムのファイル共有を、サポートされているコンピュートインスタンス上のフォルダーにマッピングするため、適切なネットワークトラフィックルールがセキュリティグループにあることを確認します。
セキュリティグループの詳細については、「Amazon EC2 ユーザーガイド」の「セキュリティグループルール」を参照してください。
Amazon FSx のセキュリティグループを作成するには
-
https://console.aws.amazon.com/ec2
で Amazon EC2 コンソールを開きます。 -
ナビゲーションペインで、[セキュリティグループ] を選択します。
-
[Create Security Group] (セキュリティグループの作成) を選択します。
-
セキュリティグループの名前と説明を指定します。
-
VPC については、ファイルシステムに関連付けられている Amazon VPC を選択して、その VPC 内にセキュリティグループを作成します。
-
以下のルールを追加して、次のポートでアウトバウンドネットワークトラフィックを許可します。
-
VPC セキュリティグループ の場合、デフォルトの Amazon VPC のデフォルトのセキュリティグループは、コンソールのファイルシステムにすでに追加されています。FSx ファイルシステムを作成しているサブネットのセキュリティグループと VPC ネットワーク ACL が、次の図表に示す方向のポートでのトラフィックを許可していることを確認してください。
以下の表に、各ポートのロールを示します。
プロトコル
ポート
ロール
TCP / UDP
53
ドメインネームシステム (DNS)
TCP / UDP
88
Kerberos 認証
TCP / UDP
464
パスワードを変更 / 設定する
TCP / UDP
389
Lightweight Directory Access Protocol (LDAP)
UDP 123 Network Time Protocol (NTP)
TCP 135 Distributed Computing Environment / End Point Mapper (DCE / EPMAP)
TCP
445
Directory Services SMB ファイル共有
TCP
636
TLS/SSL (LDAPS) を介した Lightweight Directory Access Protocol (LDAPS)
TCP
3268
Microsoft グローバルカタログ
TCP
3269
SSL 経由の Microsoft グローバルカタログ
TCP
5985
WinRM 2.0 (Microsoft Windows リモート管理)
TCP
9389
Microsoft AD DS ウェブサービス、PowerShell
TCP
49152 - 65535
RPC 用のエフェメラルポート
重要
シングル AZ2 およびすべてのマルチ AZ ファイルシステムのデプロイには、TCP ポート 9389 でのアウトバウンドトラフィックを許可する必要があります。
-
これらのトラフィックルールが、AD ドメインコントローラー、DNS サーバー、FSx クライアント、および FSx 管理者のそれぞれに適用されるファイアウォールにも反映されていることを確認してください。
重要
Amazon VPC セキュリティグループでは、ネットワークトラフィックが開始される方向にのみポートを開く必要がありますが、ほとんどの Windows ファイアウォールとVPCネットワーク ACL では、ポートを両方向に開く必要があります。
注記
アクティブディレクトリのサイトを定義している場合は、Amazon FSx ファイルシステムに関連付けられている VPC のサブネットがアクティブディレクトリサイトで定義されていること、および VPC のサブネットおよび他のサイトのサブネットの間に競合が存在しないことを確認する必要があります。これらの設定は、アクティブディレクトリのサイトとサービス MMC スナップインを使用して表示および変更できます。
注記
場合によっては、AWS Managed Microsoft AD セキュリティグループのルールをデフォルト設定から変更した可能性があります。その場合、このセキュリティグループに Amazon FSx ファイルシステムからのトラフィックを許可するために必要なインバウンドルールがあることを確認してください。必要なインバウンドルールの詳細については、「AWS Directory Service 管理ガイド」の「AWS Managed Microsoft AD 前提条件」を参照してください。
-
セキュリティグループを作成したので、それを Amazon FSx ファイルシステムの Elastic Network Interface に関連付けることができます。
セキュリティグループを Amazon FSx ファイルシステムに関連付けるには
-
https://console.aws.amazon.com/fsx/
で Amazon FSx コンソールを開きます。 -
ダッシュボードで、ファイルシステムを選択して詳細を表示します。
-
[Network & Security] (ネットワークとセキュリティ) タブを選択し、ファイルシステムのネットワークインターフェイス (例えば、[ENI-01234567890123456]) を選択します。シングル AZ ファイルシステムの場合、1 つのネットワークインターフェイスが表示されます。マルチ AZ ファイルシステムの場合、優先サブネットとスタンバイサブネットに 1 つずつ、ネットワークインターフェイスが表示されます。
-
ネットワークインターフェイスごとにネットワークインターフェイスを選択し、[Actions] (アクション) で [Change Security Groups] (セキュリティグループを変更) を選択します。
-
[Change Security Groups] (セキュリティグループの変更) ダイアログボックスで、使用するセキュリティグループを選択し、[Save] (保存) を選択します。
ファイルシステムへのアクセスを停止する
すべてのクライアントからファイルシステムへのネットワークアクセスを一時的に禁止するには、ファイルシステムの Elastic Network Interface に関連付けられているすべてのセキュリティグループを削除し、インバウンド / アウトバウンドルールのないグループに置き換えます。
Amazon VPC ネットワーク ACL
VPC 内のファイルシステムへのアクセスを保護するためのもう 1 つのオプションは、ネットワークアクセスコントロールリスト (ネットワーク ACL) を確立することです。ネットワーク ACL はセキュリティグループとは別のものですが、VPC のリソースにセキュリティのレイヤーを追加するための同様の機能があります。ネットワーク ACL の詳細については、「Amazon VPC ユーザーガイド」の「ネットワーク ACL」を参照してください。