Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

chiffrement des données en transit

L'activation du chiffrement des données en transit pour votre système de EFS fichiers Amazon s'effectue en activant Transport Layer Security (TLS) lorsque vous montez votre système de fichiers à l'aide de l'assistant de EFS montage Amazon. Pour de plus amples informations, veuillez consulter Montage de systèmes de EFS fichiers à l'aide de l'assistant de EFS montage.

Lorsque le chiffrement des données en transit est déclaré comme option de montage pour votre système de EFS fichiers Amazon, l'assistant de montage initialise un processus de tunnel client. Stunnel est un relais réseau multifonctionnel en open source. Le processus de blocage du client écoute le trafic entrant sur un port local, et l'assistant de montage redirige le trafic client du système de fichiers réseau (NFS) vers ce port local. L'assistant de montage utilise TLS la version 1.2 pour communiquer avec votre système de fichiers.

Comment fonctionne le chiffrement des données en transit ?

Pour activer le chiffrement des données en transit, vous devez vous connecter à Amazon à EFS l'aide deTLS. Nous vous recommandons d'utiliser l'EFSassistant de montage pour monter votre système de fichiers, car il simplifie le processus de montage par rapport au montage avec NFSmount. L'assistant de EFS montage gère le processus à l'aide de stunnel forTLS. Vous pouvez tout de même activer le chiffrement des données en transit sans utiliser l’assistant de montage. Les étapes générales à suivre sont les suivantes :

Étant donné que le chiffrement des données en transit est configuré en mode par connexion, chaque montage configuré possède un processus stunnel dédié s’exécutant sur l’instance. Par défaut, le stunnel processus utilisé par l'assistant de EFS montage écoute sur un port local compris entre 20049 et 21049, et il se connecte à Amazon EFS sur le port 2049.

Lorsque vous utilisez le chiffrement des données en transit, la configuration de votre NFS client est modifiée. Lorsque vous examinez vos systèmes de fichiers montés, vous en voyez un monté sur 127.0.0.1, ou localhost, comme dans l’exemple suivant :

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Lors du montage à TLS l'aide de l'assistant de EFS montage Amazon, vous reconfigurez votre NFS client pour le monter sur un port local. L'assistant de EFS montage démarre un stunnel processus client qui écoute sur ce port local et stunnel ouvre une connexion cryptée avec le système de EFS fichiers à l'aide TLS de. L'assistant de EFS montage est responsable de la configuration et de la maintenance de cette connexion cryptée et de la configuration associée.

Pour déterminer quel ID de système de EFS fichiers Amazon correspond à quel point de montage local, vous pouvez utiliser la commande suivante. Remplacez efs-mount-point par le chemin local sur lequel vous avez monté votre système de fichiers.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Lorsque vous utilisez l’assistant de montage pour le chiffrement des données en transit, il crée également un processus appelé amazon-efs-mount-watchdog. Ce processus garantit que le processus Stunnel de chaque montage est en cours d'exécution et arrête le Stunnel lorsque le système de EFS fichiers Amazon est démonté. Si, pour une raison quelconque, un processus stunnel est interrompu de manière inattendue, le processus de surveillance le redémarre.