Daten in Amazon verschlüsseln EFS - Amazon Elastic File System
Funktionsweise der Verschlüsselung während der Übertragung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Daten in Amazon verschlüsseln EFS

Amazon EFS unterstützt zwei Formen der Verschlüsselung für Dateisysteme: Verschlüsselung von Daten bei der Übertragung und Verschlüsselung im Ruhezustand. Sie können die Verschlüsselung von Daten im Ruhezustand aktivieren, wenn Sie ein EFS Amazon-Dateisystem erstellen. Sie können die Datenverschlüsselung während der Übertragung aktivieren, wenn Sie das Dateisystem mounten.

Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine andere FIPS 140-2 validierte kryptografische Module benötigenAPI, verwenden Sie einen Endpunkt. FIPS Weitere Informationen zu den verfügbaren FIPS Endpunkten finden Sie unter Federal Information Processing Standard () 140-2. FIPS

Wenn Ihr Unternehmen Unternehmensrichtlinien oder gesetzlichen Vorschriften unterliegt, die eine Verschlüsselung von Daten und Metadaten im Ruhezustand vorschreiben, empfehlen wir Ihnen, ein Dateisystem zu erstellen, das im Ruhezustand verschlüsselt ist, und Ihr Dateisystem mit einer Verschlüsselung der Daten während der Übertragung zu mounten.

Funktionsweise der Verschlüsselung während der Übertragung

Um die Verschlüsselung von Daten während der Übertragung zu aktivieren, stellen Sie eine Verbindung zu Amazon her EFS überTLS. Wir empfehlen, zum Mounten Ihres Dateisystems den EFS Mount-Helper zu verwenden, da er den Mount-Vorgang im Vergleich zum Mounten mit vereinfacht NFSmount. Der EFS Mount-Helper verwaltet den Prozess mithilfe von stunnel forTLS. Sie können die Datenverschlüsselung während der Übertragung aber auch ohne die Mountinghilfe aktivieren. Gehen Sie dazu allgemein betrachtet wie folgt vor.

Um die Verschlüsselung von Daten während der Übertragung zu aktivieren, ohne den EFS Mount-Helper zu verwenden

  1. Laden Sie stunnel herunter und installieren Sie es, und notieren Sie sich den Port, auf dem die Anwendung lauscht. Anweisungen dazu finden Sie unter Upgraden von stunnel.

  2. Führen Sie ausstunnel, um über Port 2049 eine Verbindung zu Ihrem EFS Amazon-Dateisystem herzustellenTLS.

  3. Verwenden Sie den NFS Client, mounten Sielocalhost:port, wo port ist der Port, den Sie im ersten Schritt notiert haben.

Da die Verschlüsselung von Daten während der Übertragung für jede einzelne Verbindung konfiguriert wird, läuft für jede konfigurierte Verbindung ein eigener stunnel-Vorgang auf der Instance. Standardmäßig überwacht der vom EFS Mount-Helper verwendete stunnel Prozess einen lokalen Port zwischen 20049 und 21049 und stellt über Port 2049 eine Verbindung zu EFS Amazon her.

Anmerkung

Wenn Sie den EFS Amazon-Mount-Helper mit verwendenTLS, erzwingt der Mount-Helper standardmäßig die Überprüfung des Zertifikat-Hostnamens. Der Amazon EFS Mount Helper verwendet das stunnel Programm aufgrund seiner TLS Funktionalität. Einige Versionen von Linux enthalten standardmäßig keine Version von Stunnel, die diese TLS Funktionen unterstützt. Wenn Sie eine dieser Linux-Versionen verwenden, schlägt das Mounten eines EFS Amazon-Dateisystems mit TLS fehl.

Nachdem Sie das amazon-efs-utils Paket installiert haben, erfahren Sie unter, wie Sie die Version von stunnel auf Ihrem System aktualisieren könnenUpgraden von stunnel.

Informationen zu Problemen mit der Verschlüsselung finden Sie unter Fehlerbehebung bei der Verschlüsselung.

Wenn Sie die Verschlüsselung von Daten während der Übertragung verwenden, wird Ihr NFS Client-Setup geändert. Wenn Sie Ihre aktiv gemounteten Dateisysteme untersuchen, sehen Sie eines, das an 127.0.0.1 oder localhost gemountet ist, wie im folgenden Beispiel.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Beim Mounten mit TLS und dem Amazon EFS Mount Helper konfigurieren Sie Ihren NFS Client neu, sodass er an einem lokalen Port bereitgestellt wird. Der EFS Mount-Helper startet einen stunnel Client-Prozess, der diesen lokalen Port abhört und stunnel eine verschlüsselte Verbindung zum EFS Dateisystem überTLS. Der EFS Mount-Helper ist für den Aufbau und die Aufrechterhaltung dieser verschlüsselten Verbindung und der zugehörigen Konfiguration verantwortlich.

Um zu ermitteln, welche EFS Amazon-Dateisystem-ID welchem lokalen Einhängepunkt entspricht, können Sie den folgenden Befehl verwenden. Ersetzen Sie efs-mount-point durch den lokalen Pfad, in dem Sie das Dateisystem gemountet haben.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Wenn Sie die Mountinghilfe zum Verschlüsseln von Daten während der Übertragung verwenden, wird auch ein Vorgang namens amazon-efs-mount-watchdog erstellt. Dieser Prozess stellt sicher, dass der Stunnel-Prozess jedes Mounts läuft, und stoppt den Stunnel, wenn das EFS Amazon-Dateisystem unmountet wird. Wenn der Stunnel-Vorgang aus irgendeinem Grund unerwartet beendet wird, wird er vom Watchdog-Vorgang neu gestartet.