使用 Amazon VPC 进行文件系统访问控制 - FSx适用于 Windows 文件服务器的亚马逊
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon VPC 进行文件系统访问控制

您可以通过弹性网络接口访问您的 Amazon FSx 文件系统。该网络接口位于虚拟私有云(VPC)中,基于您与文件系统关联的 Amazon Virtual Private Cloud(Amazon VPC)服务。您可以通过 Amazon FSx 文件系统的域名服务(DNS)名称连接到您的 Amazon FSx 文件系统。DNS 名称映射到 VPC 中文件系统弹性网络接口的私有 IP 地址。只有关联 VPC 内的资源、通过 Amazon Direct Connect 或 VPN 与关联 VPC 连接的资源或对等 VPC 中的资源才能访问文件系统的网络接口。有关更多信息,请参阅《Amazon VPC 用户指南》中的什么是 Amazon VPC?

警告

不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。

FSx for Windows File Server 支持 VPC 共享,这使您可以查看、创建、修改和删除 Amazon 另一个账户拥有的 VPC 中共享子网中的资源。有关更多信息,请参阅《Amazon VPC 用户指南》中的使用共享 VPC

Amazon VPC 安全组

为了进一步控制通过 VPC 内文件系统弹性网络接口的网络流量,请使用安全组来限制对文件系统的访问。安全组是一种状态防火墙,用于控制进出其关联网络接口的流量。在这种情况下,关联的资源就是文件系统的网络接口。

要使用安全组控制对 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入的流量,出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则,以便将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅 Amazon EC2 用户指南中的安全组规则

为 Amazon FSx 创建安全组
  1. 打开 Amazon EC2 控制台,网址为 https://console.aws.amazon.com/ec2

  2. 在导航窗格中,选择安全组

  3. 选择创建安全组

  4. 为安全组指定名称和描述。

  5. 对于 VPC,请选择与您的文件系统关联的 Amazon VPC 以在该 VPC 中创建安全组。

  6. 添加以下规则以允许以下端口上的出站网络流量:

    1. 对于 VPC 安全组,用于您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保要在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 在端口上允许有下图所示方向的流量。

      用于 VPC 安全组的 FSx for Windows File Server 端口配置要求,以及用于要在其中创建文件系统的子网的网络 ACL。

      下表确定了每个端口的作用。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统(DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/设置密码

      TCP/UDP

      389

      轻型目录访问协议(LDAP)

      UDP 123

      网络时间协议(NTP)

      TCP 135

      分布式计算环境/端点映射器(DCE/EPMAP)

      TCP

      445

      目录服务 SMB 文件共享

      TCP

      636

      基于 TLS/SSL 的轻型目录访问协议(LDAPS)

      TCP

      3268

      Microsoft 全局目录

      TCP

      3269

      基于 SSL 的 Microsoft 全局目录

      TCP

      5985

      WinRM 2.0(Microsoft Windows 远程管理)

      TCP

      9389

      微软 AD DS 网络服务, PowerShell

      TCP

      49152 - 65535

      RPC 的临时端口

      重要

      单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    2. 确保这些流量规则也镜像到适用于每个 AD 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。

      重要

      虽然 Amazon VPC 安全组要求仅在发起网络流量的方向打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 要求双向打开端口。

    注意

    如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中定义了与 Amazon FSx 文件系统关联的 VPC 中的子网,且 VPC 中的子网与您其他站点中的子网之间不存在冲突。您可以使用 Active Directory Sites and Services MMC 管理单元查看和更改这些设置。

    注意

    在某些情况下,您可能已经修改了 Amazon Managed Microsoft AD 安全组规则的默认设置。如果是,请确保此安全组具有必需的允许您的 Amazon FSx 文件系统的流量入站规则。有关必需的入站规则的更多信息,请参阅《Amazon Directory Service 管理指南》中的Amazon Managed Microsoft AD 先决条件

现在您已经创建了安全组,可以将其与 Amazon FSx 文件系统的弹性网络接口相关联。

添加与您的 Amazon FSx 文件系统关联的安全组
  1. 通过以下网址打开 Amazon FSx 控制台:https://console.aws.amazon.com/fsx/

  2. 在控制面板上,选择您的文件系统以查看其详细信息。

  3. 网络与安全选项卡上,选择文件系统的网络接口;例如,ENI-01234567890123456。对于单可用区文件系统,您将看到单个网络接口。对于多可用区文件系统,您将在首选子网和备用子网中分别看到一个网络接口。

  4. 对于每个网络接口,选择网络接口,然后在操作中选择更改安全组

  5. 更改安全组对话框中,选择要使用的安全组,然后选择保存

禁止访问文件系统

要暂时禁止所有客户端通过网络访问您的文件系统,可以删除与文件系统的弹性网络接口关联的所有安全组,并将其替换为没有入站/出站规则的组。

Amazon VPC 网络 ACL

另一种保护 VPC 内文件系统访问权限的方法是建立网络访问控制列表(网络 ACL)。网络 ACL 与安全组是分开的,但它们具有相似的功能,可以为 VPC 中的资源添加额外安全层。有关网络 ACL 的更多信息,请参阅《Amazon VPC 用户指南》中的网络 ACL