创建安全组 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建安全组

注意

下一部分针对的是 Amazon EC2,并介绍了如何创建安全组,以便使用 Secure Shell(SSH)连接到任何挂载了 Amazon EFS 文件系统的实例。如果不使用 SSH 连接到您的 Amazon EC2 实例,可以跳过这部分。

Amazon EC2 实例和挂载目标都有关联的安全组。这些安全组充当虚拟防火墙,控制它们之间的流量。如果在创建挂载目标时未提供安全组,Amazon EFS 会将 VPC 的默认安全组与之关联。

无论如何,要启用 EC2 实例和挂载目标 (以后随后的文件系统) 之间的流量,您必须在这些安全组中配置以下规则:

  • 与挂载目标关联的安全组必须允许来自要挂载文件系统的所有 EC2 实例在 NFS 端口上对 TCP 协议的入站访问。

  • 每个挂载文件系统的 EC2 实例都必须有一个安全组,以便允许在 NFS 端口上对挂载目标的出站访问。

要更改与 EFS 文件系统挂载目标关联的安全组,请参阅创建并管理挂载目标和安全组

有关安全组的更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的 Amazon EC2 安全组

使用 Amazon Web Services Management Console创建安全组

您可以使用在您的 Amazon Web Services Management Console VPC 中创建安全组。要将 Amazon EFS 文件系统连接到 Amazon EC2 实例,需要创建两个安全组:一个用于 Amazon EC2 实例,另一个用于 Amazon EFS 挂载目标。

  1. 在 VPC 中创建两个安全组。有关说明,请参阅《Amazon VPC 用户指南》中的创建安全组

  2. 在 VPC 控制台中,验证这些安全组的默认规则。两个安全组都应当只有一条允许出站流量的出站规则。

  3. 必须向安全组授予额外访问权限,如下所示:

    1. 向 EC2 安全组添加规则,以允许对端口 22 上的实例进行 SSH 访问,如下所示。如果计划使用像 PuTTY 这样的 SSH 客户端通过终端接口连接和管理 EC2 实例,这将非常有用。或者,您可以限制地址。

      
                  显示入站规则详细信息的编辑入站规则页面。

      有关说明,请参阅《Amazon VPC 用户指南》中的添加、移除和更新规则

    2. 为挂载目标安全组添加规则,以允许从 TCP 端口 2049 上的 EC2 安全组进行入站访问。列中的安全组是与 EC2 实例关联的安全组。

      
                  显示配置的入站规则的编辑入站规则页面。

      要查看与您的文件系统挂载目标关联的安全组,请在 EFS 控制台中,选择文件系统详细信息页面中的网络选项卡。有关更多信息,请参阅创建并管理挂载目标和安全组

    注意

    您不需要添加出站规则,因为默认出站规则允许所有出站流量。(如果移除默认出站规则,必须添加一条出站规则以在 NFS 端口上打开 TCP 连接,并将挂载目标安全组识别为目标。)

  4. 确认两个安全组现在都如本节中所述授权了入站和出站访问。

使用 Amazon CLI创建安全组

有关演示如何使用创建安全组的示例 Amazon CLI,请参阅第 1 步:创建 Amazon EC2 资源