Controle de acesso ao sistema de arquivos com a Amazon VPC - Amazon FSx for Windows File Server
Grupos de segurança da Amazon VPCACLs de rede da Amazon VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso ao sistema de arquivos com a Amazon VPC

Você acessa seu sistema de arquivos do Amazon FSx por meio de uma interface de rede elástica. Essa interface de rede reside na nuvem privada virtual (VPC) com base no serviço Amazon Virtual Private Cloud (Amazon VPC) que você associa ao seu sistema de arquivos. Você se conecta ao seu sistema de arquivos do Amazon FSx por meio do nome DNS (Domain Name Service). O nome DNS é mapeado para o endereço IP privado da interface de rede elástica do sistema de arquivos em sua VPC. Somente recursos dentro da VPC associada, recursos conectados à VPC associada por AWS Direct Connect ou VPN ou recursos dentro de VPCs emparelhadas podem acessar a interface de rede do seu sistema de arquivos. Para obter mais informações, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

Atenção

Você não deve modificar nem excluir as interfaces de rede elástica associadas ao seu sistema de arquivos. A modificação ou a exclusão da interface de rede pode causar uma perda permanente de conexão entre a VPC e o sistema de arquivos.

O FSx for Windows File Server oferece suporte ao compartilhamento de VPC, o que permite que você visualize, crie, modifique e exclua recursos em uma sub-rede compartilhada em uma VPC de propriedade de outra conta. AWS Para obter mais informações, consulte Trabalhar com VPCs compartilhadas no Guia do usuário da Amazon VPC.

Grupos de segurança da Amazon VPC

Para controlar ainda mais o tráfego de rede que passa pela(s) interface(s) de rede elástica(s) do seu sistema de arquivos na VPC, use grupos de segurança para limitar o acesso aos sistemas de arquivos. Um grupo de segurança é um firewall com estado que controla o tráfego de e para suas interfaces de rede associadas. Nesse caso, o recurso associado é(são) a(s) interface(s) de rede do seu sistema de arquivos.

Para usar um grupo de segurança para controlar o acesso ao sistema de arquivos do Amazon FSx, adicione regras de entrada e saída. As regras de entrada controlam o tráfego de entrada e as regras de saída controlam o tráfego de saída do sistema de arquivos. Verifique se você tem as regras de tráfego de rede corretas em seu grupo de segurança para mapear o compartilhamento de arquivos do sistema de arquivos do Amazon FSx em uma pasta na sua instância de computação com suporte.

Para obter mais informações sobre regras de grupos de segurança, consulte Regras de grupos de segurança no Guia do usuário do Amazon EC2.

Criar um grupo de segurança para o Amazon FSx

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2.

  2. No painel de navegação, escolha Grupos de segurança.

  3. Escolha Create Security Group.

  4. Especifique um nome e uma descrição para o grupo de segurança.

  5. Para VPC, escolha a Amazon VPC associada ao seu sistema de arquivos para criar o grupo de segurança dentro dessa VPC.

  6. Adicione as seguintes regras para permitir o tráfego de rede de saída nas seguintes portas:

    1. Em Grupos de segurança da VPC, o grupo de segurança padrão para a Amazon VPC padrão já está adicionado ao sistema de arquivos no console. Certifique-se de que o grupo de segurança e as ACLs de rede da VPC para as sub-redes nas quais você vai criar seu sistema de arquivos do FSx permite tráfego nas portas e nas direções mostradas no diagrama a seguir.

      Requisitos de configuração de porta do FSx para Windows File Server para grupos de segurança de VPC e ACLs de rede para as sub-redes em que o sistema de arquivos está sendo criado.

      A tabela a seguir identifica o perfil de cada porta.

      Protocolo

      Portas

      Função

      TCP/UDP

      53

      Domain Name System (DNS)

      TCP/UDP

      88

      Autenticação de Kerberos

      TCP/UDP

      464

      Alterar/definir senha

      TCP/UDP

      389

      Lightweight Directory Access Protocol (LDAP)
      UDP 123

      Network Time Protocol (NTP)
      TCP 135

      Distributed Computing Environment/End Point Mapper (DCE/EPMAP)

      TCP

      445

      Compartilhamento de arquivos de SMB para serviços de diretório

      TCP

      636

      Lightweight Directory Access Protocol over TLS/SSL (LDAPS)

      TCP

      3268

      Catálogo global da Microsoft

      TCP

      3269

      Catálogo global da Microsoft sobre SSL

      TCP

      5985

      WinRM 2.0 (Gerenciamento Remoto do Microsoft Windows)

      TCP

      9389

      Serviços Web do Microsoft AD DS, PowerShell

      TCP

      49152 – 65535

      Portas efêmeras para RPC
      Importante

      É necessário permitir o tráfego de saída na porta TCP 9389 para implantações de sistemas de arquivos single-AZ 2 e todas as implantações de sistemas de arquivos multi-AZ.

    2. Certifique-se de que essas regras de tráfego também sejam espelhadas nos firewalls que se aplicam a cada um dos controladores de domínio do AD, servidores DNS, clientes FSx e administradores FSx.

      Importante

      Embora os grupos de segurança da Amazon VPC exijam que as portas sejam abertas apenas na direção em que o tráfego de rede é iniciado, a maioria dos firewalls do Windows e das ACLs das redes VPC exige que as portas sejam abertas nas duas direções.

    nota

    Se você tiver sites do Active Directory definidos, deverá certificar-se de que a(s) sub-rede(s) na VPC associada ao seu sistema de arquivos do Amazon FSx esteja(m) definida(s) em um site do Active Directory e que não haja conflitos entre a(s) sub-rede(s) na sua VPC e as sub-rede(s) nos outros sites. Você pode exibir e alterar essas configurações usando o snap-in do MMC de Serviços e Sites do Active Directory.

    nota

    Em alguns casos, você pode ter modificado as regras do grupo de segurança do AWS Managed Microsoft AD com base nas configurações padrão. Nesse caso, certifique-se de que esse grupo de segurança tenha as regras de entrada necessárias para permitir tráfego proveniente do sistema de arquivos do Amazon FSx. Para obter mais informações sobre as regras de entrada necessárias, consulte Pré-requisitos do AWS Managed Microsoft AD no Guia de administração do AWS Directory Service .

Agora que você criou seu grupo de segurança, você pode associá-lo à(s) interface(s) de rede elástica do sistema de arquivos do Amazon FSx.

Associar um grupo de segurança ao seu sistema de arquivos do Amazon FSx

  1. Abra o console do Amazon FSx em https://console.aws.amazon.com/fsx/.

  2. No painel, escolha seu sistema de arquivos para visualizar seus detalhes.

  3. Selecione a guia Rede e segurança e escolha a(s) interface(s) de rede do seu sistema de arquivos; por exemplo, ENI-01234567890123456. Para sistemas de arquivos single-AZ, você verá uma única interface de rede. Para sistemas de arquivos multi-AZ, você verá uma interface de rede na sub-rede preferencial e uma na sub-rede em espera.

  4. Para cada interface de rede, escolha a interface de rede e, em Ações, selecione Alterar grupos de segurança.

  5. Na caixa de diálogo Alterar grupos de segurança, escolha os grupos de segurança a serem usados e selecione Salvar.

Proibir acesso a um sistema de arquivos

Para impedir temporariamente o acesso de todos os clientes à rede ao sistema de arquivos, você pode remover todos os grupos de segurança associados às interfaces de rede elástica do sistema de arquivos e substituí-los por um grupo que não tenha regras de entrada/saída.

ACLs de rede da Amazon VPC

Outra opção para proteger o acesso ao sistema de arquivos em sua VPC é estabelecer listas de controle de acesso à rede (ACLs da rede). As ACLs da rede são diferentes dos grupos de segurança, mas têm funcionalidade semelhante para adicionar outra camada de segurança aos recursos em sua VPC. Para obter mais informações sobre ACLs da rede, consulte ACLs da rede no Guia do usuário da Amazon VPC.