将适用于 Windows File Server 的 FSx 与 Amazon ECS 结合使用的最佳实践
将适用于 Windows File Server 的 FSx 与 Amazon ECS 结合使用时,请记下以下最佳实践建议。
适用于 Windows File Server 的 FSx 的安全和访问控制
适用于 Windows File Server 的 FSx 提供以下访问控制功能,您可以使用这些功能来确保存储在适用于 Windows File Server 的 FSx 文件系统中的数据是安全的,并且只能从需要它的应用程序中访问。
适用于 Windows File Server 的 FSx 卷的数据加密
适用于 Windows File Server 的 FSx 支持两种形式的文件系统加密。它们是传输中数据的加密和静态加密。在支持 SMB 协议 3.0 或更高版本的容器实例上映射的文件共享支持传输中数据加密。创建 Amazon FSx 文件系统时,系统会自动启用静态数据加密。Amazon FSx 会在您访问文件系统时使用 SMB 加密自动加密传输中数据,而无需修改应用程序。有关更多信息,请参阅《适用于 Windows File Server 的 Amazon FSx 用户指南》中的 Amazon FSx 中的数据加密。
使用 Windows ACL 进行文件夹级别的访问控制
Windows Amazon EC2 实例使用 Active Directory 凭证访问 Amazon FSx 文件共享。它使用标准的 Windows 访问控制列表(ACL)进行精细的文件和文件夹级别的访问控制。您可以创建多个凭证,每个凭证用于共享中映射到特定任务的特定文件夹。
在以下示例中,任务可以使用保存在 Secrets Manager 中的凭证访问文件夹 App01。它的 Amazon 资源名称(ARN)为 1234。
"rootDirectory": "\\path\\to\\my\\data\App01", "credentialsParameter": "arn-1234", "domain": "corp.fullyqualified.com",
在另一个示例中,任务可以使用保存在 Secrets Manager 中的凭证访问文件夹 App02。其 ARN 为 6789。
"rootDirectory": "\\path\\to\\my\\data\App02", "credentialsParameter": "arn-6789", "domain": "corp.fullyqualified.com",