Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de grupos de seguridad de VPC
Al usar Amazon EFS, especifica los grupos de seguridad de VPC para sus instancias de EC2 y los grupos de seguridad de los destinos de montaje de EFS asociados al sistema de archivos. Un grupo de seguridad actúa como firewall y las reglas que agregue definen el flujo de tráfico. En el ejercicio de introducción, creó un grupo de seguridad al lanzar la instancia de EFS. A continuación, asoció otra con el destino de montaje de EFS (es decir, el grupo de seguridad predeterminado para la VPC predeterminada). Esta estrategia funciona para el ejercicio de introducción. Sin embargo, en un sistema de producción, debe configurar los grupos de seguridad con permisos mínimos para su uso con Amazon EFS.
Puede autorizar el acceso de entrada y de salida a su sistema de archivos de EFS. Para ello, agrega reglas que permitan a las instancias de EFS conectarse al sistema de archivos de EFS a través del destino de montaje utilizando el puerto del sistema de archivos de red (NFS).
-
Cada instancia de EC2 que monta el sistema de archivos debe tener un grupo de seguridad con una regla que permita el acceso de salida al destino de montaje en el puerto NFS 2049.
-
El destino de montaje de EFS debe tener un grupo de seguridad con una regla que permita el acceso de entrada al puerto NFS 2049 desde cada instancia de EC2 en la que se desea montar el sistema de archivos.
En la tabla siguiente, se muestran las reglas de grupo de seguridad específicas requeridas:
| Security Group | Tipo de regla | Protocolo | Puerto | Origen/Destino |
|---|---|---|---|---|
| Instancia de EC2 | Salida | TCP | 2049 | Grupo de seguridad del destino de montaje |
| Destino de montaje | Entrada | TCP | 2049 | Grupo de seguridad de la instancia de EC2 |
Puertos de origen para trabajar con Amazon EFS
Para admitir un amplio conjunto de clientes NFS, Amazon EFS permite establecer conexiones desde cualquier puerto de origen. Si necesita que solo los usuarios con privilegios puedan acceder a Amazon EFS, le recomendamos que utilice la siguiente regla de firewall de cliente. Conéctese a su sistema de archivos mediante SSH y ejecute el siguiente comando:
iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP
Este comando inserta una nueva regla al inicio de la cadena OUTPUT (-I OUTPUT
1). La regla impide que un proceso sin privilegios que no es del kernel (-m owner --uid-owner
1-4294967294) abra una conexión al puerto NFS 2049 (-m tcp -p tcp –dport
2049).
Consideraciones de seguridad para el acceso a la red
Un cliente NFS versión 4.1 (NFSv4.1) solo puede montar un sistema de archivos si puede realizar una conexión de red al puerto NFS (puerto 2049 de TCP) de uno de los destinos de montaje del sistema de archivos. Del mismo modo, un cliente NFSv4.1 solo puede confirmar un ID de usuario y grupo cuando accede a un sistema de archivos si puede realizar esta conexión de red.
La capacidad de realizar esta conexión de red se rige mediante una combinación de lo siguiente:
-
Aislamiento de red proporcionado por el VPC de los destinos de montaje: los destinos de montaje del sistema de archivos no pueden tener direcciones IP públicas asociadas a los mismos. Los únicos destinos que pueden montar sistemas de archivos son los siguientes:
-
Instancias de Amazon EC2 en la VPC de Amazon local
-
Instancias EC2 en las VPC conectadas
-
Servidores en las instalaciones conectados a una Amazon VPC mediante AWS Direct Connect y una AWS Virtual Private Network (VPN)
-
-
Listas de control de acceso (ACL) de red de las subredes de VPC del cliente y destinos de montaje, para el acceso desde fuera de las subredes del destino de montaje: para montar el sistema de archivos, el cliente debe poder realizar una conexión TCP al puerto NFS 2049 de un destino de montaje y recibir el tráfico de retorno.
-
Reglas de los grupos de seguridad de la VPC del cliente y de los destinos de montaje, para todos los accesos: para que una instancia EC2 monte un sistema de archivos, deben estar en vigor las siguientes reglas de grupo de seguridad:
-
El sistema de archivos debe tener un destino de montaje cuya interfaz de red tenga un grupo de seguridad con una regla que permita las conexiones de entrada en el puerto NFS 2049 desde la instancia. Puede habilitar las conexiones entrantes ya sea por dirección IP (rango de CIDR) o grupo de seguridad. El origen de las reglas de grupo de seguridad en las interfaces de red del destino de montaje es un factor clave del control de acceso al sistema de archivos. Las interfaces de red para los destinos de montaje del sistema de archivos no utilizan reglas de entrada distintas a las del puerto de NFS 2049, así como cualquier regla de salida.
-
La instancia de montaje debe tener una interfaz de red con un grupo de seguridad que permita las conexiones de entrada en el puerto NFS 2049 en uno de los destinos de montaje del sistema de archivos. Puede habilitar las conexiones salientes ya sea por dirección IP (rango de CIDR) o grupo de seguridad.
-
Para obtener más información, consulte Administrar destinos de montaje.
Creación de grupos de seguridad
Cómo crear grupos de seguridad para instancias de EC2 y destinos de montaje de EFS
Estos son los pasos generales que debe seguir al crear los grupos de seguridad para Amazon EFS. Para obtener instrucciones acerca de cómo crear grupos de seguridad, consulte Creación de un grupo de seguridad en la Guía del usuario de Amazon VPC.
-
Para las instancias de EC2, cree un grupo de seguridad con las siguientes reglas:
-
Una regla de entrada que permita el acceso de entrada mediante Secure Shell (SSH) en el puerto 22 desde su dirección IP o red. De forma opcional, por seguridad, puede restringir la dirección Origen.
-
Una regla de salida que permite el acceso de salida en el puerto NFS 2049 al grupo de seguridad del destino de montaje. Identifique el grupo de seguridad del destino de montaje como el destino.
-
-
Para el destino de montaje de EFS, cree un grupo de seguridad con las siguientes reglas:
-
Una regla de entrada que permita el acceso en el puerto NFS 2049 desde el grupo de seguridad de EC2. Identifique el grupo de seguridad de EC2 como el origen.
nota
No es necesario agregar una regla de salida, ya que la regla de salida predeterminada permite todo el tráfico de salida.
-
