将 FSx for Windows File Server 与 Amazon ECS 结合使用的最佳实践
将 FSx for Windows File Server 与 Amazon ECS 结合使用时,请记下以下最佳实践建议。
FSx for Windows File Server 的安全和访问控制
FSx for Windows File Server 提供以下访问控制功能,您可以使用这些功能来确保存储在 FSx for Windows File Server 文件系统中的数据是安全的,并且只能从需要它的应用程序中访问。
FSx for Windows File Server 卷的数据加密
FSx for Windows File Server 支持两种形式的文件系统加密。它们是传输中数据的加密和静态加密。在支持 SMB 协议 3.0 或更高版本的容器实例上映射的文件共享支持传输中数据加密。创建 Amazon FSx 文件系统时,系统会自动启用静态数据加密。Amazon FSx 会在您访问文件系统时使用 SMB 加密自动加密传输中数据,而无需修改应用程序。有关更多信息,请参阅《Amazon FSx for Windows File Server 用户指南》中的 Amazon FSx 中的数据加密。
使用 Windows ACL 进行文件夹级别的访问控制
Windows Amazon EC2 实例使用 Active Directory 凭证访问 Amazon FSx 文件共享。它使用标准的 Windows 访问控制列表(ACL)进行精细的文件和文件夹级别的访问控制。您可以创建多个凭证,每个凭证用于共享中映射到特定任务的特定文件夹。
在以下示例中,任务可以使用保存在 Secrets Manager 中的凭证访问文件夹 App01。它的 Amazon 资源名称(ARN)为 1234。
"rootDirectory": "\\path\\to\\my\\data\App01", "credentialsParameter": "arn-1234", "domain": "corp.fullyqualified.com",
在另一个示例中,任务可以使用保存在 Secrets Manager 中的凭证访问文件夹 App02。其 ARN 为 6789。
"rootDirectory": "\\path\\to\\my\\data\App02", "credentialsParameter": "arn-6789", "domain": "corp.fullyqualified.com",