文件系统访问控制 Amazon VPC - Amazon FSx for Windows File Server
Amazon VPC 个安全组Amazon VPC 网络ACL
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

文件系统访问控制 Amazon VPC

您访问了 Amazon FSx 文件系统。此网络接口位于虚拟私有云(VPC)中,基于 Amazon Virtual Private Cloud (人Amazon VPC)服务。您连接到您的 Amazon FSx 文件系统。DNS名称映射到VPC中文件系统弹性网络接口的专用IP地址。仅相关VPC内的资源,通过 AWS Direct Connect 或VPN,或对等VPC内的资源可以访问文件系统的网络接口。有关更多信息,请参阅 什么是 Amazon VPC? Amazon VPC 用户指南.

警告

您不得修改或删除与文件系统关联的弹性网络接口。修改或删除网络接口会导致VPC和文件系统之间的连接永久中断。

Amazon FSx for Windows File Server 支持VPC共享,使您可以查看、创建、修改和删除另一个AWS帐户拥有的VPC中的共享子网中的资源。有关更多信息,请参阅 使用共享VPCAmazon VPC 用户指南.

Amazon VPC 个安全组

要进一步控制通过VPC内文件系统弹性网络接口的网络流量,您可以使用安全组来限制对文件系统的访问。甲 安全组 是一个状态防火墙,可控制进出其相关网络接口的流量。在这种情况下,关联的资源是文件系统的网络接口。

要使用授权组来控制对您的 Amazon FSx 文件系统,添加入站和出站规则。入站规则控制传入流量,出站规则控制来自文件系统的传出流量。确保您在安全组中拥有正确的网络流量规则,以映射您的 Amazon FSx 文件系统的文件共享到您支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅 安全组规则Amazon EC2 用户指南(适用于 Linux 实例).

为 Amazon FSx 创建安全组

  1. 打开 Amazon EC2 控制台位于 https://console.amazonaws.cn/ec2的.

  2. 在导航窗格中,选择 Security Groups (安全组)

  3. 选择 Create Security Group

  4. 为安全组指定名称和描述。

  5. 对于 VPC副总裁,选择 Amazon VPC 与您的文件系统相关联,以便在该VPC中创建授权组。

  6. 添加以下规则以允许以下端口上的出站网络流量:

    1. 对于 VPC安全组,默认授权组 Amazon VPC 已添加到控制台中的文件系统。请确保在创建FSx文件系统的子网的安全组和VPC网络ACL允许端口上的流量以及下图所示的方向。

      Amazon FSx for Windows File Server 正在创建文件系统的子网的VPC安全组和网络ACL的端口配置要求。

      下表列出了每个端口的作用。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统 (DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/设置密码

      TCP/UDP

      389

      轻型目录访问协议(LDAP)
      UDP 123

      网络时间协议(NTP)
      TCP 135

      分布式计算环境/端点映射器(DCE/EPMAP)

      TCP

      445

      目录服务SMB文件共享

      TCP

      636

      目录服务SMB文件共享

      TCP

      3268

      Microsoft全球目录

      TCP

      3269

      通过SSL的MicrosoftGlobalCatalog

      TCP

      5985年

      WinRM2.0(MicrosoftWindows远程管理)

      TCP

      9389

      MicrosoftADDSWeb服务,PowerShell

      TCP

      49152 - 65535

      用于RPC的临时端口
      重要

      对于单AZ2和所有多AZ文件系统部署,需要在TCP端口9389上允许出站流量。

    2. 确保这些流量规则也镜像在适用于每个AD域控制器、DNS服务器、FSx客户端和FSx管理员的防火墙上。

      重要

      而 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,大多数Windows防火墙和VPC网络ACL要求端口在两个方向上打开。

    注意

    如果您定义了ActiveDirectory站点,则必须确保VPC中的子网与您的 Amazon FSx 文件系统在ActiveDirectory站点中定义,并且VPC中的子网和其他站点中的子网之间不存在冲突。您可以使用ActiveDirectory站点和服务MMC嵌入式管理单元查看和更改这些设置。

    注意

    在某些情况下,您可能已经修改了 AWS Managed Microsoft AD 授权组。如果是,请确保此授权组具有所需的入站规则,以允许来自您的 Amazon FSx 文件系统。有关所需入站规则的更多信息,请参阅 AWS Managed Microsoft AD 先决条件AWS Directory Service Administration Guide.

现在您已经创建了授权组,您可以将它与 Amazon FSx 文件系统的弹性网络接口。

将授权组与您的 Amazon FSx 文件系统

  1. 打开 Amazon FSx 控制台位于 https://console.amazonaws.cn/fsx/(fsx/).

  2. 在仪表板上,选择文件系统以查看其详细信息。

  3. 选择 网络与安全 选项卡,然后选择文件系统的网络接口ID(例如, ENI-01234567890123456(ENI-))。

  4. 对于 操作,选择 更改安全组.

  5. 更改安全组 对话框中,选择要使用的授权组,然后选择 保存.

不允许访问文件系统

要暂时禁止从所有客户端访问文件系统的网络,您可以移除与文件系统弹性网络接口关联的所有安全组,并将其替换为没有入站/出站规则的组。

Amazon VPC 网络ACL

在VPC内保护文件系统访问的另一个选项是建立网络访问控制列表(网络ACL)。网络ACL独立于安全组,但具有类似的功能,可为VPC中的资源添加额外的安全层。有关网络ACL的更多信息,请参阅 网络ACLAmazon VPC 用户指南.