Utilizzo dei gruppi di sicurezza VPC - Amazon Elastic File System
Porte di origineConsiderazioni relative alla sicurezza per l'accesso di reteCreazione dei gruppi di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei gruppi di sicurezza VPC

Quando usi Amazon EFS, specifichi i gruppi di sicurezza VPC per le istanze EC2 e i gruppi di sicurezza per gli obiettivi di montaggio EFS associati al file system. Un gruppo di sicurezza funge da firewall e le regole aggiunte definiscono il flusso di traffico. Nell'esercizio Guida introduttiva, hai creato un gruppo di sicurezza quando hai avviato l'istanza EFS. Ne è quindi stato associato un altro alla destinazione di montaggio EFS (ossia il gruppo di sicurezza di default della VPC). Questo approccio funziona per l'esercizio Getting started. Tuttavia, per un sistema di produzione, è necessario configurare gruppi di sicurezza con autorizzazioni minime da utilizzare con Amazon EFS.

È possibile autorizzare l'accesso in entrata e in uscita verso il file system EFS. A tale scopo, aggiungi regole che consentono alle istanze EFS di connettersi al file system EFS tramite la destinazione di montaggio utilizzando la porta NFS (Network File System).

  • Ogni istanza EC2 che installa il file system deve avere un gruppo di sicurezza con una regola che consenta l'accesso in uscita alla destinazione di montaggio sulla porta NFS 2049.

  • Il target di montaggio EFS deve disporre di un gruppo di sicurezza con una regola che consenta l'accesso in entrata sulla porta NFS 2049 da ogni istanza EC2 su cui si desidera montare il file system.

La tabella seguente mostra le regole specifiche del gruppo di sicurezza richieste:

Gruppo di sicurezza Tipo di regola Protocollo Porta Sorgente/destinazione
Istanza EC2 In uscita TCP 2049 Monta il gruppo di sicurezza di destinazione
Destinazione di montaggio In entrata TCP 2049 Gruppo di sicurezza dell'istanza EC2

Porte di origine per lavorare con Amazon EFS

Per supportare un'ampia gamma di client NFS, Amazon EFS consente connessioni da qualsiasi porta di origine. Se si richiede che solo gli utenti privilegiati possano accedere ad Amazon EFS, consigliamo di utilizzare le seguenti regole di firewall per il client. Connettiti al file system tramite SSH ed esegui questo comando:

iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP

Questo comando inserisce una nuova regola all'inizio della catena di OUTPUT (-I OUTPUT 1). La regola impedisce a qualsiasi processo non basato sul kernel (-m owner --uid-owner 1-4294967294) senza privilegi di aprire una connessione alla porta NFS 2049 (). -m tcp -p tcp –dport 2049

Considerazioni relative alla sicurezza per l'accesso di rete

Un client NFS versione 4.1 (NFSv4.1) può montare un file system solo se è in grado di stabilire una connessione di rete alla porta NFS (porta TCP 2049) di una delle destinazioni di montaggio del file system. Analogamente, un NFSv4 client.1 può affermare un ID utente e di gruppo quando accede a un file system solo se è in grado di effettuare questa connessione di rete.

La possibilità di attivare questa connessione di rete è disciplinata da una combinazione dei seguenti elementi:

  • Isolamento di rete fornito dalla VPC delle destinazioni di montaggio - Le destinazioni di montaggio del file system non possono avere indirizzi IP pubblici associati ad esse. Le uniche destinazioni su cui è possibile montare i file system sono le seguenti:

    • Istanze Amazon EC2 nella stessa Amazon VPC locale

    • Le istanze EC2 sono connesse VPCs

    • Server locali connessi a un Amazon VPC AWS Direct Connect tramite e AWS Virtual Private Network una (VPN)

  • Liste di controllo dell'accesso alla rete (ACLs) per le sottoreti VPC del client e delle destinazioni di montaggio, per l'accesso dall'esterno delle sottoreti della destinazione di montaggio — Per montare un file system, il client deve essere in grado di stabilire una connessione TCP alla porta NFS 2049 di una destinazione di montaggio e ricevere il traffico di ritorno.

  • Regole dei gruppi di sicurezza VPC del client e delle destinazioni di montaggio per tutti gli accessi – Per montare un file system su un'istanza EC2, devono essere attive le seguenti regole dei gruppi di sicurezza:

    • Il file system deve avere una destinazione di montaggio la cui interfaccia di rete ha un gruppo di sicurezza con una regola che abilita le connessioni in entrata sulla porta NFS 2049 dall'istanza. È possibile abilitare le connessioni in entrata sulla base dell'indirizzo IP (intervallo CIDR) o del gruppo di sicurezza. L'origine delle regole del gruppo di sicurezza per le regole in ingresso sulla porta NFS dell'interfaccia di rete della destinazione di montaggio è un elemento chiave del controllo degli accessi al file system. Le regole in entrata diverse da quella per la porta NFS 2049 e tutte le regole in uscita non vengono utilizzate dalle interfacce di rete per le destinazioni di montaggio del file system.

    • L'istanza di montaggio deve avere un'interfaccia di rete con una regola del gruppo di sicurezza che abiliti le connessioni in uscita alla porta NFS 2049 su una delle destinazioni di montaggio del file system. È possibile abilitare le connessioni in uscita sulla base dell'indirizzo IP (intervallo CIDR) o del gruppo di sicurezza.

Per ulteriori informazioni, consulta Gestione dei target di montaggio.

Creazione dei gruppi di sicurezza

Per creare gruppi di sicurezza per istanze EC2 e destinazioni di montaggio EFS

Di seguito sono riportati i passaggi generali da eseguire durante la creazione dei gruppi di sicurezza per Amazon EFS. Per istruzioni sulla creazione dei gruppi di sicurezza, consulta Create a security group nella Amazon VPC User Guide.

  1. Per le tue istanze EC2, crea un gruppo di sicurezza con le seguenti regole:

    • Una regola in entrata che consente l'accesso in entrata tramite Secure Shell (SSH) sulla porta 22 dal tuo indirizzo IP o dalla tua rete. Facoltativamente, limita l'indirizzo di origine per motivi di sicurezza.

    • Una regola in uscita che consente l'accesso in uscita sulla porta NFS 2049 al gruppo di sicurezza di destinazione del montaggio. Identifica il gruppo di sicurezza del target di montaggio come destinazione.

  2. Per il tuo target di montaggio EFS, crea un gruppo di sicurezza con le seguenti regole:

    • Una regola in entrata che consente l'accesso alla porta NFS 2049 dal gruppo di sicurezza EC2. Identifica il gruppo di sicurezza EC2 come origine.

    Nota

    Non è necessario aggiungere una regola in uscita perché la regola in uscita predefinita consente tutto il traffico in uscita.