为 Amazon EC2 实例和挂载目标使用VPC安全组 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon EC2 实例和挂载目标使用VPC安全组

使用 Amazon 时EFS,您可以为EC2实例指定 Amazon EC2 安全组,为与文件系统关联的EFS挂载目标指定安全组。安全组将充当防火墙,您添加的规则将定义流量。在入门练习中,您在启动EC2实例时创建了一个安全组。然后,您将另一个与EFS挂载目标(即默认安全组的默认安全组VPC)相关联。这种方法适用于入门练习。但是,对于生产系统,您应设置具有最低权限的安全组以供使用EFS。

您可以授权对EFS文件系统的入站和出站访问权限。为此,您需要添加规则,允许您的EC2实例使用网络EFS文件系统 (NFS) 端口通过挂载目标连接到您的 Amazon 文件系统。请执行以下步骤以创建和更新您的安全组。

为EC2实例和挂载目标创建安全组
  1. 在中创建两个安全组VPC。

    有关说明,请参阅《Amazon VPC 用户指南》中创建安全组中的 “创建安全组” 过程。

  2. 打开 Amazon VPC 管理控制台 https://console.aws.amazon.com/vpc/,验证这些安全组的默认规则。两个安全组都应当只有一条允许出站流量的出站规则。

更新安全组必要的访问权限
  1. 打开亚马逊VPC控制台,网址为https://console.aws.amazon.com/vpc/

  2. 为您的EC2安全组添加一条规则,允许使用安全外壳 (SSH) 从任何主机进行入站访问。或者,限制地址。

    您不需要添加出站规则,因为默认出站规则允许所有出站流量。如果不是这种情况,则需要添加一条出站规则以打开NFS端口上的TCP连接,将挂载目标安全组标识为目的地。

    有关说明,请参阅 Amazon VPC 用户指南中的添加和删除规则

  3. 为挂载目标添加入站和出站规则。

    • 为挂载目标安全组添加入站规则,以允许来自该EC2安全组的入站访问。将EC2安全组标识为来源。

    • 添加出站规则以在所有NFS端口上打开TCP连接。将EC2安全组标识为目标。

    有关说明,请参阅 Amazon VPC 用户指南中的添加和删除规则

  4. 确认两个安全组现在授予了入站和出站访问权限。

有关安全组的更多信息,请参阅适用于 Linux 实例的 Amazon EC2 安全组