创建安全组 - Amazon Elastic File System
使用创建安全组 Amazon Web Services Management Console使用创建安全组 Amazon CLI
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建安全组

注意

以下部分专门针对 Amazon EC2,讨论如何创建安全组,以便您可以使用安全外壳 (SSH) 连接到任何已挂载 Amazon EFS 文件系统的实例。如果您没有使用 SSH 连接您的 Amazon EC2 实例,则可以跳过本节。

Amazon EC2 实例和挂载目标都有关联的安全组。这些安全组充当虚拟防火墙,控制它们之间的流量。如果您在创建挂载目标时未提供安全组,Amazon EFS 会将 VPC 的默认安全组与该安全组关联。

无论如何,要启用 EC2 实例和挂载目标 (以后随后的文件系统) 之间的流量,您必须在这些安全组中配置以下规则:

  • 与挂载目标关联的安全组必须允许您要挂载文件系统的所有 EC2 实例通过 NFS 端口对 TCP 协议进行入站访问。

  • 每个挂载文件系统的 EC2 实例都必须有一个安全组,以便允许在 NFS 端口上对挂载目标的出站访问。

要更改与 EFS 文件系统挂载目标关联的安全组,请参阅创建和管理挂载目标和安全组

有关安全组的更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的 Amazon EC2 安全组

使用创建安全组 Amazon Web Services Management Console

您可以使用 Amazon Web Services Management Console在 VPC 中创建安全组。要将您的 Amazon EFS 文件系统连接到 Amazon EC2 实例,您必须创建两个安全组:一个用于您的 Amazon EC2 实例,另一个用于您的 Amazon EFS 挂载目标。

  1. 在 VPC 中创建两个安全组。有关说明,请参阅 Amazon VPC 用户指南中的创建安全组

  2. 在 VPC 控制台中,验证这些安全组的默认规则。两个安全组都应当只有一条允许出站流量的出站规则。

  3. 您必须按如下方式向安全组授予其他访问权限:

    1. 向 EC2 安全组添加规则,以允许对端口 22 上的实例进行 SSH 访问,如下所示。如果您计划使用 SSH 客户端(例如PuTTY通过终端接口连接和管理 EC2 实例),这将非常有用。或者,您可以限制地址。

      编辑入站规则页面,显示入站规则的详细信息。

      有关说明,请参阅 Amazon VPC 用户指南中的添加、删除和更新规则

    2. 向挂载目标安全组添加规则,允许通过 TCP 端口 2049 从 EC2 安全组进行入站访问。列中的安全组是与 EC2 实例关联的安全组。

      编辑入站规则页面,显示已配置的入站规则。

      要查看与您的文件系统挂载目标关联的安全组,请在 EFS 控制台中,选择文件系统详细信息页面中的网络选项卡。有关更多信息,请参阅创建和管理挂载目标和安全组

    注意

    您无需添加出站规则,因为默认出站规则允许所有流量离开。(如果删除默认出站规则,则必须添加出站规则才能在 NFS 端口上打开 TCP 连接,并将挂载目标安全组标识为目标。)

  4. 确认两个安全组现在都如本节中所述授权了入站和出站访问。

使用创建安全组 Amazon CLI

有关展示如何使用创建安全组的示例Amazon CLI,请参阅第 1 步:创建 Amazon EC2 资源