Contenido del curso
EFS & FSx
La gestión eficiente de sistemas de archivos compartidos es fundamental para organizaciones que necesitan controlar el acceso a datos críticos. AWS ofrece soluciones robustas que permiten compartir archivos entre múltiples instancias mientras se implementan controles de acceso granulares. Estas herramientas son esenciales para mantener la integridad de la información y aplicar principios de seguridad como el privilegio mínimo.
¿Qué soluciones de sistemas de archivos compartidos ofrece AWS?
AWS proporciona principalmente dos tipos de sistemas de archivos para satisfacer diferentes necesidades y entornos:
Elastic File System (EFS): Basado en el protocolo NFS (Network File System), está optimizado para servidores Linux y entornos compatibles con este protocolo.
Amazon FSx: Utiliza el protocolo SMB (Server Message Block), diseñado principalmente para servidores Windows y aplicaciones que requieren compatibilidad con este sistema.
Estos servicios están diseñados para facilitar el acceso a datos desde múltiples recursos de computación dentro de AWS, permitiendo que varias instancias EC2, contenedores o funciones Lambda accedan a los mismos archivos simultáneamente.
¿Cuáles son los beneficios principales de estos servicios?
Tanto EFS como FSx ofrecen ventajas significativas para implementaciones en la nube:
Elasticidad automática: Se adaptan automáticamente al crecimiento de datos sin necesidad de aprovisionamiento manual.
Acceso multizona: Permiten la conexión desde recursos ubicados en diferentes zonas de disponibilidad.
Niveles de almacenamiento: Ofrecen diferentes opciones según la frecuencia de acceso a los datos.
Seguridad integrada: Incluyen características como cifrado en reposo y en tránsito por defecto.
Este enfoque elimina la complejidad de gestionar infraestructura de almacenamiento tradicional, permitiendo a los equipos centrarse en sus aplicaciones en lugar de en la administración de almacenamiento.
¿Cómo funciona el acceso multizona en EFS?
En un escenario típico de implementación, EFS se configura para servir a recursos distribuidos en varias zonas de disponibilidad dentro de una VPC:
Por ejemplo, instancias EC2 en las zonas de disponibilidad 1 y 3 pueden acceder al mismo sistema de archivos EFS, compartiendo datos de forma transparente entre ellas. Esto facilita arquitecturas de alta disponibilidad y recuperación ante desastres.
VPC | ├── Zona de Disponibilidad 1 | ├── Instancias EC2 | └── Mount Target EFS | ├── Zona de Disponibilidad 2 | └── Otros recursos | └── Zona de Disponibilidad 3 ├── Instancias EC2 └── Mount Target EFS
¿Qué variantes de FSx están disponibles en AWS?
Amazon FSx ha evolucionado para admitir diversos protocolos y casos de uso específicos:
FSx for Windows File Server: La implementación original, optimizada para cargas de trabajo Windows.
FSx for Open ZFS: Compatible con el sistema de archivos ZFS de código abierto.
FSx for NetApp ONTAP: Integra la plataforma de almacenamiento ONTAP de NetApp.
FSx for Lustre: Diseñado específicamente para computación de alto rendimiento (HPC), análisis de datos y otras cargas de trabajo que requieren almacenamiento de archivos de alta velocidad.
Estas variantes permiten a las organizaciones seleccionar la solución más adecuada según sus requisitos específicos de rendimiento, compatibilidad y costo.
¿Cómo aplicar controles de acceso IAM en sistemas de archivos AWS?
Para el escenario planteado al inicio, donde las aplicaciones en instancias EC2 necesitan acceso de solo lectura a un conjunto de datos, se requiere implementar controles de acceso adecuados. Con EFS, podemos utilizar políticas IAM para:
elasticfilesystem:Read*)elasticfilesystem:Write*)elasticfilesystem:Delete*)Esto garantiza que las aplicaciones puedan consumir los datos necesarios sin riesgo de modificación accidental o eliminación, manteniendo la integridad del conjunto de datos de referencia.
Estas capacidades de control de acceso granular son cruciales para implementar el principio de privilegio mínimo, otorgando exactamente los permisos necesarios para cada caso de uso.
Los sistemas de archivos compartidos en AWS ofrecen soluciones flexibles y seguras para diversos escenarios. Comprender las diferencias entre EFS y FSx, así como sus capacidades de control de acceso, te permitirá diseñar arquitecturas más eficientes y seguras. Te animo a compartir tu solución al escenario planteado o cualquier experiencia con estos servicios en los comentarios.
Matías Daniel Cravero
Estudiante
Octavio Alzerreca
Estudiante
Gustavo Bautista Hernández
Estudiante
José López Lara
Estudiante
Pablo Aquino
EstudianteEntiendo que la respuesta correcta es la B ya que:
A: Creo que es posible montar un EFS (NFS) en modo solo lectura, pero en el enunciado se pide explícitamente que sea por IAM el control de acceso.
C: Menciona una política para denegar EBS, y debería ser sobre EFS.
D: Aquí ya no menciona control de acceso IAM, con lo cual entiendo que tampoco es correcta.
B, aunque me queda la duda el permiso ClientWrite
La opción correcta es la B, por qué menciona las políticas IAM. La Opción A (montaje en modo de solo lectura) es técnicamente efectiva y simple, pero no cumple con el requisito específico de usar control de acceso IAM que menciona el enunciado.
Para evitar confusiones, es indispensable entender que la política elasticfilesystem:Write* engloba el delete y el modify de los archivos dentro de un EFS, mientras que elasticfilesystem:Delete* es la acción de eliminar el recurso EFS, no un archivo "dentro" del recurso EFS que creamos. Por lo que la respuesta es la opción B
De acuerdo a lo solicitado la respuesta correcta es la B.
"Crea una política de recursos para el sistema de archivo EFS que deniegue la acción "elasticfilesystem:ClientWrite" a los roles de IAM asociados a las instancias EC2"