Controle de acesso ao sistema de arquivos com a Amazon VPC

Você acessa seus sistemas de arquivos e SVMs do Amazon FSx for NetApp ONTAP usando o nome DNS ou o endereço IP de um de seus endpoints, dependendo do tipo de acesso. O nome DNS é mapeado para o endereço IP privado da interface de rede elástica do sistema de arquivos ou da SVM na sua VPC. Somente recursos dentro da VPC associada, ou recursos conectados à VPC AWS Direct Connect ou VPN associada, podem acessar os dados em seu sistema de arquivos por meio dos protocolos NFS, SMB ou iSCSI. Para obter mais informações, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

Atenção

Você não deve modificar nem excluir as interfaces de rede elástica associadas ao seu sistema de arquivos. A modificação ou a exclusão da interface de rede pode causar uma perda permanente de conexão entre a VPC e o sistema de arquivos.

Grupos de segurança da Amazon VPC

Um grupo de segurança age como firewall virtual para os sistemas de arquivos do FSx para ONTAP a fim de controlar o tráfego de entrada e saída. As regras de entrada controlam o tráfego de entrada para o sistema de arquivos e as regras de saída controlam o tráfego de saída do sistema de arquivos. Ao criar um sistema de arquivos, você especifica a VPC na qual ele é criado e o grupo de segurança padrão dessa VPC é aplicado. É possível adicionar regras a cada grupo de segurança que permitam o tráfego de entrada ou de saída nos sistemas de arquivos ou nas SVMs associadas. É possível modificar as regras de um grupo de segurança a qualquer momento. As regras novas e modificadas são aplicadas automaticamente a todos os recursos associados ao grupo de segurança. Quando o Amazon FSx decide se deve permitir que o tráfego atinja um recurso, ele avalia todas as regras de todos os grupos de segurança associados ao recurso.

Para usar um grupo de segurança para controlar o acesso ao sistema de arquivos do Amazon FSx, adicione regras de entrada e saída. As regras de entrada controlam o tráfego de entrada e as regras de saída controlam o tráfego de saída do sistema de arquivos. Verifique se você tem as regras de tráfego de rede corretas em seu grupo de segurança para mapear o compartilhamento de arquivos do sistema de arquivos do Amazon FSx em uma pasta na sua instância de computação com suporte.

Para obter mais informações sobre regras de grupo de segurança, consulte Regras de grupo de segurança no Guia do usuário do Amazon EC2 para instâncias do Linux.

Criar um grupo de segurança de VPC

Criar um grupo de segurança para o Amazon FSx

Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2.
No painel de navegação, escolha Grupos de segurança.
Escolha Create Security Group.
Especifique um nome e uma descrição para o grupo de segurança.
Para VPC, escolha a Amazon VPC associada ao seu sistema de arquivos para criar o grupo de segurança dentro dessa VPC.
Para regras de saída, permita todo o tráfego em todas as portas.

Adicione a regras a seguir às portas de entrada do grupo de segurança. Para o campo de origem, você deve escolher Personalizado e inserir os grupos de segurança ou os intervalos de endereços IP associados às instâncias que precisam acessar seu sistema de arquivos do FSx para ONTAP, incluindo:

Clientes Linux, Windows e macOS que acessam dados em seu sistema de arquivos via NFS, SMB ou iSCSI.
Qualquer sistema de arquivos/clusters ONTAP que você conectará ao seu sistema de arquivos (por exemplo, para usar SnapMirror, SnapVault ou). FlexCache
Qualquer cliente que você usará para acessar a API REST, CLI ou ZAPIs do ONTAP (por exemplo, uma instância Harvest/Grafana, Connector ou BlueXP). NetApp NetApp

Protocolo	Portas	Função
Todos os ICMP	Todos	Como executar ping na instância
SSH	22	Acesso SSH ao endereço IP da LIF de gerenciamento de cluster ou de uma LIF de gerenciamento de nós
TCP	111	Chamada de procedimento remoto para NFS
TCP	135	Chamada de procedimento remoto para CIFS
TCP	139	Sessão de serviço do NetBIOS para CIFS
TCP	161-162	Protocolo simples de gerenciamento de redes (SNMP)
TCP	443	Acesso da API REST do ONTAP ao endereço IP da LIF de gerenciamento de cluster ou de uma LIF de gerenciamento de SVM
TCP	445	Microsoft SMB/CIFS sobre TCP com enquadramento do NetBIOS
TCP	635	Montagem NFS
TCP	749	Kerberos
TCP	2049	Daemon do servidor NFS
TCP	3260	Acesso iSCSI por meio da LIF de dados do iSCSI
TCP	4045	Daemon de bloqueio NFS
TCP	4046	Monitor de status de rede para NFS
TCP	10000	Protocolo de gerenciamento de dados de rede (NDMP) e comunicação NetApp SnapMirror entre clusters
TCP	1104	Gerenciamento da comunicação NetApp SnapMirror entre clusters
TCP	11105	SnapMirror transferência de dados usando LIFs entre clusters
UDP	111	Chamada de procedimento remoto para NFS
UDP	135	Chamada de procedimento remoto para CIFS
UDP	137	Resolução de nomes do NetBIOS para CIFS
UDP	139	Sessão de serviço do NetBIOS para CIFS
UDP	161-162	Protocolo simples de gerenciamento de redes (SNMP)
UDP	635	Montagem NFS
UDP	2049	Daemon do servidor NFS
UDP	4045	Daemon de bloqueio NFS
UDP	4046	Monitor de status de rede para NFS
UDP	4049	Protocolo de cota NFS

Adicione o grupo de segurança à interface de rede elástica do sistema de arquivos.

Proibir acesso a um sistema de arquivos

Para impedir temporariamente o acesso de todos os clientes à rede ao sistema de arquivos, você pode remover todos os grupos de segurança associados às interfaces de rede elástica do sistema de arquivos e substituí-los por um grupo que não tenha regras de entrada/saída.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS políticas gerenciadas

Compliance Validation