Criar grupos de segurança

Tanto uma EC2 instância da Amazon quanto um destino de montagem têm grupos de segurança associados. Esses security groups agem como um firewall virtual que controla o tráfego entre eles. Se você não fornecer um grupo de segurança ao criar um alvo de montagem, a Amazon EFS associará o grupo de segurança padrão do a VPC ele.

Independentemente disso, para ativar o tráfego entre uma EC2 instância e um destino de montagem (e, portanto, o sistema de arquivos), você deve configurar as seguintes regras nesses grupos de segurança:

• Os grupos de segurança que você associa a um destino de montagem devem permitir acesso de entrada ao TCP protocolo na NFS porta a partir de todas as EC2 instâncias nas quais você deseja montar o sistema de arquivos.

• Cada EC2 instância que monta o sistema de arquivos deve ter um grupo de segurança que permita acesso externo ao destino de montagem na NFS porta.

Para alterar os grupos de segurança associados aos alvos de montagem dos sistemas de EFS arquivos, consulteComo gerenciar destinos da montagem.

Para obter mais informações sobre grupos de segurança, consulte Grupos EC2 de segurança da Amazon para instâncias Linux no Guia EC2 do usuário da Amazon.

nota

A seção a seguir é específica da Amazon EC2 e discute como criar grupos de segurança para que você possa usar o Secure Shell (SSH) para se conectar a qualquer instância que tenha montado sistemas de EFS arquivos da Amazon. Se você não estiver usando SSH para se conectar às suas EC2 instâncias da Amazon, você pode pular esta seção.

Crie um grupo de segurança (console)

Você pode usar o AWS Management Console para criar grupos de segurança no seuVPC. Para conectar seu sistema de EFS arquivos da Amazon à sua EC2 instância da Amazon, você deve criar dois grupos de segurança: um para sua EC2 instância da Amazon e outro para seu destino de EFS montagem da Amazon.

1. Crie dois grupos de segurança no seuVPC. Para obter instruções, consulte Criar um grupo de segurança no Guia VPC do usuário da Amazon.

2. No VPC console, verifique as regras padrão para esses grupos de segurança. Os security groups devem ter apenas uma regra de saída que permita que o tráfego saia.

3. É necessário autorizar o acesso adicional a grupos de segurança da seguinte forma:

   1. Adicione uma regra ao grupo EC2 de segurança para permitir o SSH acesso à instância na porta 22, conforme mostrado a seguir. Isso é útil se você planeja usar um SSH cliente como se PuTTY conectar e administrar sua EC2 instância por meio de uma interface de terminal. Se desejar, você pode restringir o endereço de Source (Origem).

      Para obter instruções, consulte Adicionar regras a um grupo de segurança no Guia VPC do usuário da Amazon.

   2. Adicione uma regra ao grupo de segurança de destino de montagem para permitir o acesso de entrada do grupo de EC2 segurança na TCP porta 2049. O grupo de segurança atribuído como Origem é o grupo de segurança associado à EC2 instância.

      Para visualizar os grupos de segurança associados aos alvos de montagem de seus sistemas de arquivos, no EFS console, escolha a guia Rede na página Detalhes do sistema de arquivos. Para obter mais informações, consulte Como gerenciar destinos da montagem.

   nota

   Você não precisa adicionar uma regra de saída porque a regra de saída padrão permite que todo o tráfego saia. (Se você remover a regra de saída padrão, deverá adicionar uma regra de saída para abrir uma TCP conexão na NFS porta e identificar o grupo de segurança de destino de montagem como o destino.)

4. Verifique se os security groups autorizam agora o acesso de entrada e de saída, como descrito nesta seção.

Crie um grupo de segurança (AWS CLI)

Para obter um exemplo que mostra como criar grupos de segurança usando o AWS CLI, consulteEtapa 1: criar EC2 recursos.