如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。
文件系统访问控制 Amazon VPC
您访问了 Amazon FSx 文件系统。此网络接口位于虚拟私有云(VPC)中,基于 Amazon Virtual Private Cloud (人Amazon VPC)服务。您连接到您的 Amazon FSx 文件系统。DNS名称映射到VPC中文件系统弹性网络接口的专用IP地址。仅相关VPC内的资源,通过 AWS Direct Connect 或VPN,或对等VPC内的资源可以访问文件系统的网络接口。有关更多信息,请参阅 什么是 Amazon VPC? 在 Amazon VPC 用户指南.
您不得修改或删除与文件系统关联的弹性网络接口。修改或删除网络接口会导致VPC和文件系统之间的连接永久中断。
Amazon FSx for Windows File Server 支持VPC共享,使您可以查看、创建、修改和删除另一个AWS帐户拥有的VPC中的共享子网中的资源。有关更多信息,请参阅 使用共享VPC 在 Amazon VPC 用户指南.
Amazon VPC 个安全组
要进一步控制通过VPC内文件系统弹性网络接口的网络流量,您可以使用安全组来限制对文件系统的访问。甲 安全组 是一个状态防火墙,可控制进出其相关网络接口的流量。在这种情况下,关联的资源是文件系统的网络接口。
要使用授权组来控制对您的 Amazon FSx 文件系统,添加入站和出站规则。入站规则控制传入流量,出站规则控制来自文件系统的传出流量。确保您在安全组中拥有正确的网络流量规则,以映射您的 Amazon FSx 文件系统的文件共享到您支持的计算实例上的文件夹。
有关安全组规则的更多信息,请参阅 安全组规则 在 Amazon EC2 用户指南(适用于 Linux 实例).
为 Amazon FSx 创建安全组
-
打开 Amazon EC2 控制台位于 https://console.amazonaws.cn/ec2的
. -
在导航窗格中,选择 Security Groups (安全组)。
-
选择 Create Security Group。
-
为安全组指定名称和描述。
-
对于 VPC副总裁,选择 Amazon VPC 与您的文件系统相关联,以便在该VPC中创建授权组。
-
添加以下规则以允许以下端口上的出站网络流量:
-
对于 VPC安全组,默认授权组 Amazon VPC 已添加到控制台中的文件系统。请确保在创建FSx文件系统的子网的安全组和VPC网络ACL允许端口上的流量以及下图所示的方向。
下表列出了每个端口的作用。
协议
端口
角色
TCP/UDP
53
域名系统 (DNS)
TCP/UDP
88
Kerberos 身份验证
TCP/UDP
464
更改/设置密码
TCP/UDP
389
轻型目录访问协议(LDAP)
UDP 123 网络时间协议(NTP)
TCP 135 分布式计算环境/端点映射器(DCE/EPMAP)
TCP
445
目录服务SMB文件共享
TCP
636
目录服务SMB文件共享
TCP
3268
Microsoft全球目录
TCP
3269
通过SSL的MicrosoftGlobalCatalog
TCP
5985年
WinRM2.0(MicrosoftWindows远程管理)
TCP
9389
MicrosoftADDSWeb服务,PowerShell
TCP
49152 - 65535
用于RPC的临时端口
重要 对于单AZ2和所有多AZ文件系统部署,需要在TCP端口9389上允许出站流量。
-
确保这些流量规则也镜像在适用于每个AD域控制器、DNS服务器、FSx客户端和FSx管理员的防火墙上。
重要 而 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,大多数Windows防火墙和VPC网络ACL要求端口在两个方向上打开。
注意 如果您定义了ActiveDirectory站点,则必须确保VPC中的子网与您的 Amazon FSx 文件系统在ActiveDirectory站点中定义,并且VPC中的子网和其他站点中的子网之间不存在冲突。您可以使用ActiveDirectory站点和服务MMC嵌入式管理单元查看和更改这些设置。
注意 在某些情况下,您可能已经修改了 AWS Managed Microsoft AD 授权组。如果是,请确保此授权组具有所需的入站规则,以允许来自您的 Amazon FSx 文件系统。有关所需入站规则的更多信息,请参阅 AWS Managed Microsoft AD 先决条件 在 AWS Directory Service Administration Guide.
-
现在您已经创建了授权组,您可以将它与 Amazon FSx 文件系统的弹性网络接口。
将授权组与您的 Amazon FSx 文件系统
-
打开 Amazon FSx 控制台位于 https://console.amazonaws.cn/fsx/(fsx/)
. -
在仪表板上,选择文件系统以查看其详细信息。
-
选择 网络与安全 选项卡,然后选择文件系统的网络接口ID(例如, ENI-01234567890123456(ENI-))。
-
对于 操作,选择 更改安全组.
-
在 更改安全组 对话框中,选择要使用的授权组,然后选择 保存.
不允许访问文件系统
要暂时禁止从所有客户端访问文件系统的网络,您可以移除与文件系统弹性网络接口关联的所有安全组,并将其替换为没有入站/出站规则的组。
Amazon VPC 网络ACL
在VPC内保护文件系统访问的另一个选项是建立网络访问控制列表(网络ACL)。网络ACL独立于安全组,但具有类似的功能,可为VPC中的资源添加额外的安全层。有关网络ACL的更多信息,请参阅 网络ACL 在 Amazon VPC 用户指南.