安全最佳实操 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安全最佳实操

在管理文件系统安全性和访问控制方面,我们建议您遵循以下最佳实践。有关配置 Amazon FSx 以实现您的安全性和合规性目标的更多详细信息,请参阅 Amazon FSx 中的安全性

网络安全

请勿修改或删除与您的文件系统关联的 ENI

您的 Amazon FSx 文件系统可通过虚拟私有云(VPC)中的弹性网络接口(ENI)访问,该接口与文件系统关联。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。

使用安全组和网络 ACL

您可以使用安全组和网络访问控制列表(ACL)限制对文件系统的访问。对于 VPC 安全组,默认安全组已添加到控制台中的文件系统。确保您创建文件系统的子网的安全组和网络 ACL 允许端口流量。有关更多信息,请参阅 Amazon VPC 安全组

Active Directory

创建 Amazon FSx 文件系统时,您可以将其加入您的 Microsoft AD 域,以提供用户身份验证以及共享、文件和文件夹级别的访问控制授权。您的用户可以使用其现有的 AD 账户连接到文件共享并访问其中的文件和文件夹。此外,您还可以将现有安全 ACL 配置迁移到 Amazon FSx,而无需进行任何修改。Amazon FSx 为 Active Directory 提供了两个选项:Amazon 托管的 Microsoft AD自行管理的 Microsoft AD

如果您使用的是 Amazon 托管的 Microsoft AD,我们建议您保留 AD 安全组的默认设置。如果要修改这些设置,请确保使用满足网络要求的网络配置。有关更多信息,请参阅 联网先决条件

如果您使用的是自行管理的 Microsoft AD,则还可以通过其他选项配置文件系统。在结合使用 Amazon FSx 与自行管理的 Microsoft AD 时,我们建议您遵循以下最佳实践:

  • 将子网分配给单个 AD 站点:如果您的 AD 环境有大量域控制器,请使用 Active Directory 站点和服务将 Amazon FSx 文件系统使用的子网分配给可用性和可靠性最高的单个 AD 站点。确保 VPC 安全组、VPC 网络 ACL、您的 DC 上的 Windows 防火墙规则以及您的 AD 基础设施中的任何其他网络路由控制允许 Amazon FSx 通过所需端口进行通信。这允许 Windows 在无法使用分配的 AD 站点时还原至其他 DC。有关更多信息,请参阅 使用 Amazon VPC 进行文件系统访问控制

  • 使用单独的组织单位(OU):为您的 Amazon FSx 文件系统使用与您可能拥有的任何其他组织单位分开的 OU。

  • 使用所需的最低权限配置您的服务账户:使用所需的最低权限配置或委托您提供给 Amazon FSx 的服务账户。有关更多信息,请参阅 使用自行管理的 Microsoft Active Directory 的先决条件 向 Amazon FSx 服务账户委派权限

  • 持续验证您的 Amazon FSx 配置:创建 Amazon FSx 文件系统之前,针对您的 AD 配置运行 Amazon FSx Active Directory 验证工具,以验证您的配置是否适用于 Amazon FSx,并发现该工具可能暴露的任何警告和错误。

避免因 AD 配置错误而失去可用性

将 Amazon FSx 与自我托管式 Microsoft AD 配合使用时,拥有有效的 AD 配置对于创建文件系统,以及确保持续的操作和可用性都非常重要。在故障恢复事件、例行维护事件和吞吐能力更新操作期间,Amazon FSx 会将文件服务器资源重新加入您的 Active Directory。如果 AD 配置在事件期间无效,则您的文件系统状态将更改为错误配置,且存在不可用的风险。以下是一些可避免失去可用性的方法:

  • 使用 Amazon FSx 更新您的 AD 配置:如果您进行更改,例如重置服务账户的密码,请务必使用此服务账户更新所有文件系统的配置。

  • 监控 AD 配置错误:为自己设置“错误配置”状态通知,以便在必要时重置文件系统的 AD 配置。有关使用基于 Lambda 的解决方案实现这一目标的示例,请参阅使用 Amazon 和监控 Amazon FSx 文件系统的运行状况。 EventBridge Amazon Lambda

  • 定期验证您的 AD 配置:如果您想主动检测 AD 配置错误,我们建议您针对您的 AD 配置持续运行 Active Directory 验证工具。如果您在运行验证工具时收到警告或错误,则表示您的文件系统存在错误配置的风险。

  • 请勿移动或修改 FSx 创建的计算机对象:Amazon FSx 使用您提供的服务账户和权限在您的 AD 中创建和管理计算机对象。移动或修改这些计算机对象可能会导致文件系统错误配置。

Windows ACL

通过 Amazon FSx,您可以使用标准的 Windows 访问控制列表(ACL)进行精细的共享、文件和文件夹级别的访问控制。Amazon FSx 文件系统会自动验证访问文件系统数据的用户的凭证,以强制执行这些 Windows ACL。

  • 请勿更改 SYSTEM 用户的 NTFS ACL 权限:Amazon FSx 要求 SYSTEM 用户拥有对文件系统内所有文件夹的完全控制 NTFS ACL 权限。更改 SYSTEM 用户的 NTFS ACL 权限可能会导致您的文件系统无法访问,并且将来的文件系统备份可能无法使用。