使用 Amazon EC2 实例和挂载目标的安全组 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon EC2 实例和挂载目标的安全组

使用 Amazon EFS 时,需要为 EC2 实例指定 Amazon EC2 安全组,并为与文件系统关联的 EFS 挂载目标指定安全组。安全组将充当防火墙,您添加的规则将定义流量。在入门练习中,您在启动 EC2 实例时创建了一个安全组。然后,您将另一个安全组与 EFS 挂载目标相关联(即,您的默认 VPC 的默认安全组)。这种方法适用于入门练习。但对于生产系统,应设置具有用于 EFS 的最低权限的安全组。

您可以为您的 EFS 文件系统授予入站和出站访问权限。为此,您添加一些规则,以允许 EC2 实例使用网络文件系统(NFS)端口通过挂载目标连接到 Amazon EFS 文件系统。请执行以下步骤以创建和更新您的安全组。

为 EC2 实例和挂载目标创建安全组

  1. 在 VPC 中创建两个安全组。

    有关说明,请参阅《Amazon VPC 用户指南》中的创建安全组中的“创建安全组”。

  2. 打开 Amazon VPC 管理控制台( https://console.aws.amazon.com/vpc/),然后验证这些安全组的默认规则。两个安全组都应当只有一条允许出站流量的出站规则。

更新安全组必要的访问权限

  1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

  2. 为 EC2 安全组添加一个规则,以允许从任何主机中使用安全 Shell (SSH) 进行入站访问。或者,限制地址。

    您不需要添加出站规则,因为默认出站规则允许所有出站流量。如果不是这种情况,您需要添加一个出站规则以在 NFS 端口上打开 TCP 连接,从而将挂载目标安全组指定为目标。

    有关说明,请参阅《Amazon VPC 用户指南》中的添加和删除规则

  3. 为挂载目标添加入站和出站规则。

    • 为挂载目标安全组添加一个入站规则,以允许从 EC2 安全组中进行入站访问。将 EC2 安全组识别为源。

    • 添加出站规则以在所有 NFS 端口上打开 TCP 连接。将 EC2 安全组识别为目标。

    有关说明,请参阅《Amazon VPC 用户指南》中的添加和删除规则

  4. 确认两个安全组现在授予了入站和出站访问权限。

有关安全组的更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的 EC2-VPC 安全组