Mejores prácticas de cifrado para Amazon EFS - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas de cifrado para Amazon EFS

Amazon Elastic File System (AmazonEFS) le ayuda a crear y configurar sistemas de archivos compartidos en Nube de AWS.

Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:

  • En AWS Config, implemente la regla efs-encrypted-check AWS administrada. Esta regla comprueba si Amazon EFS está configurado para cifrar los datos del archivo mediante AWS KMS.

  • Aplica el cifrado de los sistemas de EFS archivos de Amazon creando una CloudWatch alarma de Amazon que monitorea CloudTrail los registros en busca de CreateFileSystem eventos y activa una alarma si se crea un sistema de archivos sin cifrar. Para obtener más información, consulte Tutorial: Aplicar el cifrado en un sistema de EFS archivos de Amazon en reposo.

  • Monte el sistema de archivos mediante el asistente de EFSmontaje. Esto configura y mantiene un túnel TLS 1.2 entre el cliente y el EFS servicio de Amazon y enruta todo el tráfico del Network File System (NFS) a través de este túnel cifrado. El siguiente comando implementa el uso de TLS para el cifrado en tránsito.

    sudo mount -t efs  -o tls file-system-id:/ /mnt/efs

    Para obtener más información, consulte Uso EFS del asistente de montaje para montar sistemas de EFS archivos.

  • Utilice AWS PrivateLink e implemente VPC puntos finales de interfaz para establecer una conexión privada entre Amazon VPCs y Amazon EFSAPI. Los datos en tránsito a través de la VPN conexión hacia y desde el punto final están cifrados. Para obtener más información, consulte Acceso y Servicio de AWS uso de un VPC punto final de interfaz.

  • Utilice la clave de elasticfilesystem:Encrypted condición en las políticas IAM basadas en la identidad para evitar que los usuarios creen sistemas de EFS archivos que no estén cifrados. Para obtener más información, consulte Utilización IAM para forzar la creación de sistemas de archivos cifrados.

  • KMSlas claves utilizadas para el EFS cifrado deben configurarse para un acceso con privilegios mínimos mediante políticas de claves basadas en los recursos.

  • Utilice la clave de aws:SecureTransport condición de la política del sistema de EFS archivos para obligar a los NFS clientes a utilizarla cuando se conecten a un sistema de TLS archivos. EFS Para obtener más información, consulte Cifrado de datos en tránsito en Cifrado de datos de archivos con Amazon Elastic File System (AWS documento técnico).