使用 Amazon VPC 进行文件系统访问控制 - Amazon FSx for Windows File Server
Amazon VPC 安全组Amazon VPC 网络 ACL
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon VPC 进行文件系统访问控制

您可以通过 elastic network interface 访问 Amazon FSx 文件系统。该网络接口位于虚拟私有云 (VPC) 中,该网络接口基于您与您的文件系统关联的 Amazon Virtual Private Cloud (Amazon VPC) 服务。通过 Amazon FSx 域名服务 (DNS) 名称连接到 Amazon FSx 文件系统。DNS 名称映射到 VPC 中文件系统 elastic network interface 的私有 IP 地址。只有关联 VPC 内的资源,与关联 VPC 连接的资源Amazon Direct Connect或 VPN,或者对等 VPC 中的资源可以访问文件系统的网络接口。有关更多信息,请参阅 。Amazon VPC 是什么?中的Amazon VPC User Guide。

警告

不得修改或删除与文件系统关联的 elastic network interface。修改或删除网络接口可能会导致永久丢失您的 VPC 与您的文件系统之间的连接。

FSx for Windows File Server 支持 VPC 共享,这使您能够查看、创建、修改和删除另一个 VPC 中共享子网中的资源Amazonaccount. 有关更多信息,请参阅 Amazon VPC 用户指南 中的使用共享 VPC

Amazon VPC 安全组

要进一步控制通过 VPC 内文件系统 elastic network interface 的网络流量,您可以使用安全组来限制对文件系统的访问。一个安全组是有状态防火墙,用于控制进出与其关联的网络接口的流量。在这种情况下,相关资源是文件系统的网络接口。

要使用安全组控制对 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入流量,出站规则控制从您的文件系统传出的流量。确保您的安全组中有正确的网络流量规则,以便将 Amazon FSx 文件系统的文件共享映射到受支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅安全组规则中的适用于 Linux 实例的 Amazon EC2 用户指南。

为 Amazon FSx 创建安全组

  1. 在以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2.

  2. 在导航窗格中,选择 Security Groups

  3. 选择 Create Security Group

  4. 为安全组指定名称和描述。

  5. 适用于VPC中,选择与您的文件系统关联的 Amazon VPC 以在该 VPC 内创建安全组。

  6. 添加以下规则以允许以下端口上的出站网络流量:

    1. 适用于VPC 安全组,您默认 Amazon VPC 的默认安全组已添加到控制台中的您的文件系统。请确保在其中创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上以及下图所示的说明中的流量。

      vFSx for Windows File Server 端口配置要求 VPC 安全组和要创建文件系统的子网的网络 ACL。

      下表确定了每个端口的角色。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统 (DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/设置密码

      TCP/UDP

      389

      轻型目录访问协议 (LDAP)
      UDP 123

      网络时间协议 (NTP)
      TCP 135

      分布式计算环境/端点映射器(DCE/EPMAP)

      TCP

      445

      目录服务 SMB 文件共享

      TCP

      636

      基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)

      TCP

      3268

      Microsoft 全球目录

      TCP

      3269

      SSL 上的微软全球目录

      TCP

      5985

      WinRM 2.0(微软视窗远程管理)

      TCP

      9389

      微软 AD DS Web 服务,PowerShell

      TCP

      49152 - 65535

      RPC 的临时端口
      重要

      单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    2. 确保这些流量规则也镜像在适用于每个 AD 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。

      重要

      尽管 Amazon VPC 安全组要求仅在启动网络流量的方向上打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求端口双向打开。

    注意

    如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中与 Amazon FSx 文件系统关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。您可以使用 Active Directory 站点和服务 MMC 管理单元查看和更改这些设置。

    注意

    在某些情况下,您可能修改了的规则Amazon Managed Microsoft AD默认设置中的安全组。如果是,请确保此安全组具有所需的入站规则,以允许来自 Amazon FSx 文件系统的流量。有关所需入站规则的更多信息,请参阅Amazon Managed Microsoft AD先决条件中的Amazon Directory Service管理指南.

现在您已经创建了安全组,可以将其与 Amazon FSx 文件系统的 elastic network interface 关联起来。

将安全组与您的 Amazon FSx 文件系统关联

  1. 在以下网址打开 Amazon FSx 控制台:https://console.aws.amazon.com/fsx/.

  2. 在控制面板上,选择您的文件系统以查看其详细信息。

  3. 选择网络 & 安全选项卡,然后选择文件系统的网络接口 ID(例如,ENI-01234567890123456)。

  4. 适用于操作,选择更改安全组.

  5. 更改安全组对话框中,选择要使用的安全组,然后选择Save(保存).

禁止访问文件系统

要暂时禁止所有客户端对文件系统进行网络访问,您可以删除与文件系统 elastic network interface 关联的所有安全组,然后用没有入站/出站规则的组替换它们。

Amazon VPC 网络 ACL

确保对 VPC 内文件系统的访问安全的另一种选择是建立网络访问控制列表(网络 ACL)。网络 ACL 与安全组分开,但具有类似的功能,可以为 VPC 中的资源添加额外安全层。有关网络 ACL 的更多信息,请参阅网络 ACL中的Amazon VPC User Guide。