创建安全组 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建安全组

注意

下一节针对的是 Amazon EC2,并介绍了如何创建安全组,以便使用安全 Shell (SSH) 连接到任何挂载了 Amazon EFS 文件系统的实例。如果您不使用 SSH 连接到您的 Amazon EC2 实例,则可以跳过该节。

Amazon EC2 实例和挂载目标都有关联的安全组。这些安全组充当虚拟防火墙,控制它们之间的流量。如果您在创建挂载目标时未提供安全组,Amazon EFS 则将 VPC 的默认安全组与之关联。

无论如何,要启用 EC2 实例和挂载目标 (以后随后的文件系统) 之间的流量,您必须在这些安全组中配置以下规则:

  • 与挂载目标关联的安全组必须允许来自您要挂载文件系统的所有 EC2 实例在 NFS 端口上对 TCP 协议的入站访问。

  • 每个挂载文件系统的 EC2 实例都必须有一个安全组,以便允许在 NFS 端口上对挂载目标的出站访问。

要更改与 EFS 文件系统挂载目标关联的安全组,请参阅创建和管理装载目标和安全组.

有关安全组的更多信息,请参见。Amazon EC2 安全组中的Amazon EC2 用户指南.

使用创建安全组Amazon Web Services Management Console

您可以使用 Amazon Web Services Management Console在 VPC 中创建安全组。要将您的 Amazon EFS 文件系统连接到您的 Amazon EC2 实例,您必须创建两个安全组:一个用于 Amazon EC2 实例,另一个用于 Amazon EFS 挂载目标。

  1. 在 VPC 中创建两个安全组。有关说明,请参阅正在创建安全组中的Amazon VPC User Guide.

  2. 在 VPC 控制台中,验证这些安全组的默认规则。两个安全组都应当只有一条允许出站流量的出站规则。

  3. 您需要向安全组授予额外访问权限,如下所示:

    1. 向 EC2 安全组添加规则,以允许对端口 22 上的实例进行 SSH 访问,如下所示。如果您计划使用像 PuTTy 这样的 SSH 客户端通过终端接口连接和管理 EC2 实例,这将非常有用。或者,您可以限制地址。

      有关说明,请参阅添加、删除和更新规则中的Amazon VPC User Guide.

    2. 在挂载目标安全组中添加一个规则,以允许从 TCP 端口 2049 上的 EC2 安全组中进行入站访问。中的安全组列是与 EC2 实例关联的安全组。

      要查看与文件系统挂载目标关联的安全组,请在 EFS 控制台中选择网络选项卡位于文件系统详细信息页面中。有关更多信息,请参阅 创建和管理装载目标和安全组

    注意

    您无需添加出站规则,因为默认出站规则允许所有流量离开 (否则,您将需要添加出站规则以打开 NFS 端口上的 TCP 连接,从而将挂载目标安全组标识为目标)。

  4. 确认两个安全组现在都如本节中所述授权了入站和出站访问。

使用创建安全组Amazon CLI

有关如何使用 Amazon CLI 创建安全组的示例,请参阅第 1 步:创建 Amazon EC2 资源