网络访问的安全注意事项 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

网络访问的安全注意事项

只有在可以建立到文件系统的某个挂载目标的 NFS 端口的网络连接时,NFS 版本 4.1 (NFSv4.1) 客户端才能挂载该文件系统。同样,只有在可以建立该网络连接时,NFSv4.1 客户端才能在访问文件系统时声明用户和组 ID。

能否使此网络连接由以下各因素共同决定:

  • 由挂载目标的 VPC 提供的网络隔离 – 文件系统挂载目标不能有与其相关联的公有 IP 地址。可挂载文件系统的唯一目标包括:

    • 本地 Amazon VPC 中的 Amazon EC2 实例

    • 已连接 VPC 中的 EC2 实例

    • 使用 AWS Direct Connect 和 AWS Virtual Private Network (VPN) 连接到 Amazon VPC 的本地服务器

  • 客户端和挂载目标的 VPC 子网的网络访问控制列表 (ACL),用于从挂载目标的子网外部进行访问 – 要挂载文件系统,客户端必须能够建立到挂载目标的 NFS 端口的 TCP 连接并接收返回的流量。

  • 客户端和挂载目标的 VPC 安全组的规则(用于所有访问) – 要使 EC2 实例能够挂载文件系统,以下安全组规则必须生效:

    • 文件系统必须具有一个挂载目标,其网络接口具有的安全组的规则允许在 NFS 端口上具有来自实例的入站连接。您可以按 IP 地址(CIDR 范围)或安全组启用入站连接。挂载目标网络接口上的入站 NFS 端口的安全组规则来源是文件系统访问控制的关键要素。文件系统挂载目标的网络接口不使用 NFS 端口以外的入站规则以及任何出站规则。

    • 挂载实例必须具有一个网络接口,其安全组规则允许建立到文件系统的某个挂载目标上的 NFS 端口的出站连接。您可以按 IP 地址(CIDR 范围)或安全组启用出站连接。

有关更多信息,请参阅 创建挂载目标