创建安全组 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

创建安全组

注意

下一部分针对的是 Amazon EC2,并介绍了如何创建安全组,以便使用安全 Shell (SSH) 连接到任何挂载了 Amazon EFS 文件系统的实例。如果不使用 SSH 连接到您的 Amazon EC2 实例,则可以跳过该节。

Amazon EC2 实例和挂载目标都有关联的安全组。这些安全组充当虚拟防火墙,控制它们之间的流量。如果您在创建挂载目标时未提供安全组,Amazon EFS 则将 VPC 的默认安全组与之关联。

无论如何,要启用 EC2 实例和挂载目标 (以后随后的文件系统) 之间的流量,您必须在这些安全组中配置以下规则:

  • 与挂载目标关联的安全组必须允许来自您要挂载文件系统的所有 EC2 实例在 NFS 端口上对 TCP 协议的入站访问。

  • 每个挂载文件系统的 EC2 实例都必须有一个安全组,以便允许在 NFS 端口上对挂载目标的出站访问。

有关安全组的更多信息,请参阅https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/using-network-security.html中的Amazon EC2 用户指南(适用于 Linux 实例)Amazon EC2 安全组

使用 AWS 管理控制台

您可以使用 AWS 管理控制台在 VPC 中创建安全组。连接您的 Amazon EFS 文件系统到您的 Amazon EC2 实例,您必须创建两个安全组:一个用于您的 Amazon EC2 实例,另一个用于您的 Amazon EFS 装载目标。

  1. 在 VPC 中创建两个安全组。有关说明,请参阅 https://docs.amazonaws.cn/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#CreatingSecurityGroups 中的Amazon VPC 用户指南创建安全组

  2. 在 VPC 控制台中,验证这些安全组的默认规则。两个安全组都应当只有一条允许出站流量的出站规则。

  3. 您需要向安全组授予额外访问权限,如下所示:

    1. 向 EC2 安全组添加规则,以允许对端口 22 上的实例进行 SSH 访问,如下所示。如果您正在使用PUTTY等一个SSH客户端来连接到通过终端接口管理EC2实例的计划,这很有用。或者,您可以限制地址。

      有关说明,请参阅 添加、删除和更新规则Amazon VPC 用户指南.

    2. 在挂载目标安全组中添加一个规则以允许来自 EC2 安全组的入站访问,如下所示 (其中 EC2 安全组被标识为源):

    注意

    您无需添加出站规则,因为默认出站规则允许所有流量离开 (否则,您将需要添加出站规则以打开 NFS 端口上的 TCP 连接,从而将挂载目标安全组标识为目标)。

  4. 确认两个安全组现在都如本节中所述授权了入站和出站访问。

使用 AWS CLI

有关如何使用 AWS CLI 创建安全组的示例,请参阅步骤 1:创建 Amazon EC2 资源