Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de datos en tránsito
Para habilitar el cifrado de los datos en tránsito en el sistema de EFS archivos de Amazon, se habilita Transport Layer Security (TLS) al montar el sistema de archivos mediante el asistente de EFS montaje de Amazon. Para obtener más información, consulte Montaje de sistemas de EFS archivos mediante el asistente de EFS montaje.
Cuando el cifrado de los datos en tránsito se declara como una opción de montaje para su sistema de EFS archivos de Amazon, el asistente de montaje inicializa un proceso de túnel del cliente. Stunnel es una retransmisión de red multipropósito de código abierto. El proceso de túnel del cliente escucha el tráfico entrante en un puerto local y el asistente de montaje redirige el tráfico de los clientes del Network File System () NFS a este puerto local. El asistente de montaje utiliza la TLS versión 1.2 para comunicarse con el sistema de archivos.
Cómo funciona el cifrado en tránsito
Para habilitar el cifrado de los datos en tránsito, te conectas a Amazon EFS medianteTLS. Recomendamos utilizar el asistente de EFS montaje para montar el sistema de archivos, ya que simplifica el proceso de montaje en comparación con el montaje con. NFS mount El asistente de EFS montaje gestiona el proceso utilizando for. stunnel TLS Aunque no utilice el ayudante de montaje, puede habilitar el cifrado de datos en tránsito. A grandes rasgos, los pasos para hacerlo son los siguientes:
Para habilitar el cifrado de los datos en tránsito sin utilizar el asistente de EFS montaje
-
Descargue e instale
stunnel, y anote el puerto en que la aplicación escucha. Consulte Actualización de stunnel para obtener instrucciones al respecto. -
Ejecuta
stunnelpara conectarte a tu sistema de EFS archivos de Amazon en el puerto 2049 usandoTLS. -
Usando el NFS cliente, monte
localhost:, dóndeportport
Debido a que el cifrado de datos en tránsito se configura según cada base de conexión, cada montaje configurado tiene un proceso stunnel específico que se ejecuta en la instancia. De forma predeterminada, el stunnel proceso utilizado por el asistente de EFS montaje escucha en un puerto local que va del 20049 al 21049 y se conecta a Amazon EFS en el puerto 2049.
nota
De forma predeterminada, cuando se utiliza el asistente de EFS montaje de Amazon conTLS, el asistente de montaje exige la comprobación del nombre de host del certificado. El asistente de EFS montaje de Amazon utiliza el stunnel programa por su TLS funcionalidad. Algunas versiones de Linux no incluyen una versión de stunnel que soporte estas TLS funciones de forma predeterminada. Cuando se utiliza una de esas versiones de Linux, se produce un TLS error al montar un sistema de EFS archivos de Amazon mediante este uso.
Una vez que haya instalado el amazon-efs-utils paquete, para actualizar la versión de stunnel de su sistema, consulteActualización de stunnel.
Si tiene problemas con el cifrado, consulte Resolución de problemas de cifrado.
Al utilizar el cifrado de datos en tránsito, se cambia la configuración del NFS cliente. Cuando inspecciona los sistemas de archivos montados activamente, verá uno montado en 127.0.0.1 o localhost, tal y como se muestra en el siguiente ejemplo.
$mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Al realizar el montaje con TLS el asistente de EFS montaje de Amazon, está reconfigurando el NFS cliente para que se monte en un puerto local. El asistente de EFS montaje inicia un stunnel proceso cliente que escucha en este puerto local y stunnel abre una conexión cifrada al sistema de EFS archivos mediante. TLS El asistente de EFS montaje es responsable de configurar y mantener esta conexión cifrada y la configuración asociada.
Para determinar qué ID del sistema de EFS archivos de Amazon corresponde a qué punto de montaje local, puede utilizar el siguiente comando. Reemplace efs-mount-point
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Cuando utiliza el ayudante de montaje para el cifrado de datos en tránsito, también se crea un proceso denominado amazon-efs-mount-watchdog. Este proceso garantiza que el proceso de túnel de cada montaje se esté ejecutando y detiene el túnel cuando se desmonta el sistema de EFS archivos de Amazon. Si por alguna razón un proceso de stunnel termina de forma inesperada, el proceso del watchdog lo reinicia.
