Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik enkripsi untuk Amazon EFS
Amazon Elastic File System (AmazonEFS) membantu Anda membuat dan mengonfigurasi sistem file bersama di file AWS Cloud.
Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:
-
Di AWS Config, terapkan aturan yang efs-encrypted-check AWS dikelola. Aturan ini memeriksa apakah Amazon EFS dikonfigurasi untuk mengenkripsi data file yang digunakan AWS KMS.
-
Terapkan enkripsi untuk sistem EFS file Amazon dengan membuat CloudWatch alarm Amazon yang memantau CloudTrail log untuk
CreateFileSystem
peristiwa dan memicu alarm jika sistem file yang tidak terenkripsi dibuat. Untuk informasi selengkapnya, lihat Panduan: Menerapkan Enkripsi pada Sistem EFS File Amazon saat Istirahat. -
Pasang sistem file dengan menggunakan EFSmount helper. Ini mengatur dan memelihara terowongan TLS 1.2 antara klien dan EFS layanan Amazon dan merutekan semua lalu lintas Sistem File Jaringan (NFS) melalui terowongan terenkripsi ini. Perintah berikut mengimplementasikan penggunaan TLS untuk enkripsi dalam transit.
sudo mount -t efs -o tls file-system-id:/ /mnt/efs
Untuk informasi selengkapnya, lihat Menggunakan EFS mount helper untuk memasang sistem EFS file.
-
Menggunakan AWS PrivateLink, mengimplementasikan VPC titik akhir antarmuka untuk membuat koneksi pribadi antara VPCs dan Amazon EFSAPI. Data dalam perjalanan melalui VPN koneksi ke dan dari titik akhir dienkripsi. Untuk informasi selengkapnya, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka.
-
Gunakan kunci
elasticfilesystem:Encrypted
kondisi dalam kebijakan IAM berbasis identitas untuk mencegah pengguna membuat sistem EFS file yang tidak dienkripsi. Untuk informasi selengkapnya, lihat Menggunakan IAM untuk menerapkan pembuatan sistem file terenkripsi. -
KMSkunci yang digunakan untuk EFS enkripsi harus dikonfigurasi untuk akses hak istimewa paling sedikit dengan menggunakan kebijakan kunci berbasis sumber daya.
-
Gunakan kunci
aws:SecureTransport
kondisi dalam kebijakan sistem EFS file untuk menerapkan penggunaan TLS untuk NFS klien saat menghubungkan ke sistem EFS file. Untuk informasi selengkapnya, lihat Enkripsi data dalam perjalanan di Mengenkripsi Data File dengan Amazon Elastic File System (AWS Whitepaper).