Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengontrol akses jaringan ke sistem file EFS untuk klien NFS
Anda dapat mengontrol akses oleh klien NFS ke sistem file Amazon EFS menggunakan keamanan lapisan jaringan dan kebijakan sistem file EFS. Anda dapat menggunakan mekanisme keamanan lapisan jaringan yang tersedia dengan Amazon EC2, seperti aturan grup keamanan VPC dan jaringan. ACLs Anda juga dapat menggunakan AWS IAM untuk mengontrol akses NFS dengan kebijakan sistem file EFS dan kebijakan berbasis identitas.
**Topics**
+ [Menggunakan grup keamanan VPC](network-access.md)
+ [Bekerja dengan titik akhir VPC antarmuka di Amazon EFS](efs-vpc-endpoints.md)
# Menggunakan grup keamanan VPC
Saat menggunakan Amazon EFS, Anda menentukan grup keamanan VPC untuk instans EC2 dan grup keamanan untuk target pemasangan EFS yang terkait dengan sistem file. Grup keamanan bertindak sebagai firewall, dan aturan yang Anda tambahkan menentukan arus lalu lintas. Dalam [latihan Memulai](getting-started.md), Anda membuat satu grup keamanan saat meluncurkan instans EFS. Anda kemudian mengaitkan yang lain dengan target pemasangan EFS (yaitu, grup keamanan default untuk VPC default Anda). Pendekatan itu bekerja untuk latihan Memulai. Namun, untuk sistem produksi, Anda harus menyiapkan grup keamanan dengan izin minimal untuk digunakan dengan Amazon EFS.
Anda dapat mengotorisasi akses masuk dan keluar ke sistem file EFS Anda. Untuk melakukannya, Anda menambahkan aturan yang memungkinkan instance EFS terhubung ke sistem file EFS Anda melalui target pemasangan menggunakan port Network File System (NFS).
+ Setiap instans EC2 yang memasang sistem file harus memiliki grup keamanan dengan aturan yang memungkinkan akses keluar ke target pemasangan pada port **NFS** 2049.
+ Target pemasangan EFS harus memiliki grup keamanan dengan aturan yang memungkinkan akses masuk pada port NFS 2049 dari setiap instans EC2 tempat Anda ingin memasang sistem file.
Tabel berikut menunjukkan aturan grup keamanan khusus yang diperlukan:
| Grup Keamanan | Jenis Aturan | Protokol | Port | Sumber/Tujuan |
| --- | --- | --- | --- | --- |
| Instans EC2 | Ke luar | TCP | 2049 | Pasang kelompok keamanan target |
| Target Gunung | Ke dalam | TCP | 2049 | Grup keamanan instans EC2 |
## Port sumber untuk bekerja dengan Amazon EFS
Untuk mendukung serangkaian klien NFS yang luas, Amazon EFS memungkinkan koneksi dari port sumber apa pun. Jika Anda mengharuskan hanya pengguna istimewa yang dapat mengakses Amazon EFS, sebaiknya gunakan aturan firewall klien berikut. Connect ke sistem file Anda menggunakan SSH dan jalankan perintah berikut:
```
iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP
```
Perintah ini menyisipkan aturan baru di awal rantai OUTPUT (`-I OUTPUT 1`). Aturan ini mencegah proses nonkernel (`-m owner --uid-owner 1-4294967294`) yang tidak memiliki hak istimewa membuka koneksi ke port NFS 2049 (). `-m tcp -p tcp –dport 2049`
## Pertimbangan keamanan untuk akses jaringan
Klien NFS versi 4.1 (NFSv4.1) hanya dapat me-mount sistem file jika dapat membuat koneksi jaringan ke port NFS (port TCP 2049) dari salah satu target mount sistem file. Demikian pula, klien NFSv4 .1 hanya dapat menegaskan ID pengguna dan grup saat mengakses sistem file jika dapat membuat koneksi jaringan ini.
Apakah Anda dapat membuat koneksi jaringan ini diatur oleh kombinasi berikut ini:
+ **Isolasi jaringan yang disediakan oleh VPC target mount** — Target pemasangan sistem file tidak dapat memiliki alamat IP publik yang terkait dengannya. Satu-satunya target yang dapat me-mount sistem file adalah sebagai berikut:
+ Instans Amazon EC2 di VPC Amazon lokal
+ Instans EC2 terhubung VPCs
+ Server lokal yang terhubung ke VPC Amazon dengan AWS Direct Connect menggunakan dan (VPN AWS Virtual Private Network )
+ **Daftar kontrol akses jaringan (ACLs) untuk subnet VPC klien dan target mount, untuk akses dari luar subnet target mount** — Untuk memasang sistem file, klien harus dapat membuat koneksi TCP ke port NFS 2049 dari target mount dan menerima lalu lintas kembali.
+ **Aturan grup keamanan VPC klien dan target mount, untuk semua** akses — Agar instans EC2 memasang sistem file, aturan grup keamanan berikut harus berlaku:
+ Sistem file harus memiliki target mount yang antarmuka jaringannya memiliki grup keamanan dengan aturan yang memungkinkan koneksi masuk pada port NFS 2049 dari instance. Anda dapat mengaktifkan koneksi masuk baik dengan alamat IP (rentang CIDR) atau grup keamanan. Sumber aturan grup keamanan untuk port NFS masuk pada antarmuka jaringan target mount adalah elemen kunci dari kontrol akses sistem file. Aturan masuk selain yang untuk port NFS 2049, dan aturan keluar apa pun, tidak digunakan oleh antarmuka jaringan untuk target pemasangan sistem file.
+ Instans pemasangan harus memiliki antarmuka jaringan dengan aturan grup keamanan yang memungkinkan koneksi keluar ke port NFS 2049 pada salah satu target pemasangan sistem file. Anda dapat mengaktifkan koneksi outbound menurut alamat IP (kisaran CIDR) atau grup keamanan.
Untuk informasi selengkapnya, lihat [Mengelola target mount](accessing-fs.md).
## Membuat grup keamanan
**Membuat grup keamanan untuk instans EC2 dan target pemasangan EFS**
Berikut ini adalah langkah-langkah umum yang akan Anda lakukan saat membuat grup keamanan untuk Amazon EFS. Untuk petunjuk cara membuat grup keamanan, lihat [Membuat grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html) di *Panduan Pengguna Amazon VPC*.
1. Untuk instans EC2 Anda, buat grup keamanan dengan aturan berikut:
+ Aturan masuk yang memungkinkan akses masuk menggunakan Secure Shell (SSH) pada **port 22** dari alamat IP atau jaringan Anda. Secara opsional, batasi alamat **Sumber** untuk keamanan.
+ Aturan keluar yang memungkinkan akses keluar pada port NFS 2049 ke grup keamanan target mount. Identifikasi grup keamanan target mount sebagai tujuan.
1. Untuk target pemasangan EFS Anda, buat grup keamanan dengan aturan berikut:
+ Aturan masuk yang memungkinkan akses pada port NFS 2049 dari grup keamanan EC2. Identifikasi grup keamanan EC2 sebagai sumbernya.
**catatan**
Anda tidak perlu menambahkan aturan keluar karena aturan keluar default memungkinkan semua lalu lintas keluar.
# Bekerja dengan titik akhir VPC antarmuka di Amazon EFS
Untuk membuat koneksi pribadi antara virtual private cloud (VPC) dan Amazon EFS API, Anda dapat membuat antarmuka VPC endpoint. Endpoint menyediakan konektivitas aman ke Amazon EFS API tanpa memerlukan gateway internet, instans NAT, atau koneksi jaringan pribadi virtual (VPN). Untuk informasi selengkapnya, lihat [Mengakses AWS layanan menggunakan titik akhir VPC antarmuka di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) Pengguna Amazon *VPC*.
Endpoint VPC antarmuka didukung oleh AWS PrivateLink, fitur yang memungkinkan komunikasi pribadi antar AWS layanan menggunakan alamat IP pribadi. Untuk menggunakannya AWS PrivateLink, buat titik akhir VPC antarmuka untuk Amazon EFS di VPC Anda menggunakan konsol Amazon VPC, API, atau CLI. Melakukan hal ini akan membuat elastic network interface di subnet Anda dengan alamat IP pribadi yang melayani permintaan Amazon EFS API. Anda juga dapat mengakses titik akhir VPC dari lingkungan lokal atau dari VPCs penggunaan lain Site-to-Site VPN,, Direct Connect atau peering VPC. Untuk mempelajari selengkapnya, lihat [Menyambungkan VPC ke layanan yang digunakan AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) di Panduan Pengguna Amazon *VPC*.
## Membuat titik akhir antarmuka untuk Amazon EFS
Untuk membuat titik akhir VPC antarmuka untuk Amazon EFS, gunakan salah satu dari berikut ini:
+ `com.amazonaws.region.elasticfilesystem`— Membuat titik akhir untuk operasi Amazon EFS API.
+ **`com.amazonaws.region.elasticfilesystem-fips`**— Membuat titik akhir untuk Amazon EFS API yang sesuai dengan [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
Untuk daftar lengkap titik akhir Amazon EFS, lihat titik akhir [dan kuota Amazon Elastic File System](https://docs.aws.amazon.com/general/latest/gr/elasticfilesystem.html) di. *Referensi Umum Amazon Web Services*
Untuk informasi selengkapnya tentang cara membuat titik akhir antarmuka, lihat [Mengakses AWS layanan menggunakan titik akhir VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) di Panduan Pengguna *Amazon VPC*.
## Membuat kebijakan titik akhir VPC untuk Amazon EFS
Untuk mengontrol akses ke Amazon EFS API, Anda dapat melampirkan kebijakan AWS Identity and Access Management (IAM) ke titik akhir VPC Anda. Kebijakan menentukan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan.
+ Tindakan yang dapat dilakukan.
+ Sumber daya yang menjadi target tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) Amazon *VPC*.
Contoh berikut menunjukkan kebijakan titik akhir VPC yang menolak izin semua orang untuk membuat sistem file EFS melalui titik akhir. Kebijakan contoh juga memberikan izin kepada semua orang untuk melakukan semua tindakan lainnya.
```
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": "elasticfilesystem:CreateFileSystem",
"Effect": "Deny",
"Resource": "*",
"Principal": "*"
}
]
}
```