Praktik terbaik enkripsi untuk Amazon EFS - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik enkripsi untuk Amazon EFS

Amazon Elastic File System (AmazonEFS) membantu Anda membuat dan mengonfigurasi sistem file bersama di file AWS Cloud.

Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:

  • Di AWS Config, terapkan aturan yang efs-encrypted-check AWS dikelola. Aturan ini memeriksa apakah Amazon EFS dikonfigurasi untuk mengenkripsi data file yang digunakan AWS KMS.

  • Terapkan enkripsi untuk sistem EFS file Amazon dengan membuat CloudWatch alarm Amazon yang memantau CloudTrail log untuk CreateFileSystem peristiwa dan memicu alarm jika sistem file yang tidak terenkripsi dibuat. Untuk informasi selengkapnya, lihat Panduan: Menerapkan Enkripsi pada Sistem EFS File Amazon saat Istirahat.

  • Pasang sistem file dengan menggunakan EFSmount helper. Ini mengatur dan memelihara terowongan TLS 1.2 antara klien dan EFS layanan Amazon dan merutekan semua lalu lintas Sistem File Jaringan (NFS) melalui terowongan terenkripsi ini. Perintah berikut mengimplementasikan penggunaan TLS untuk enkripsi dalam transit.

    sudo mount -t efs  -o tls file-system-id:/ /mnt/efs

    Untuk informasi selengkapnya, lihat Menggunakan EFS mount helper untuk memasang sistem EFS file.

  • Menggunakan AWS PrivateLink, mengimplementasikan VPC titik akhir antarmuka untuk membuat koneksi pribadi antara VPCs dan Amazon EFSAPI. Data dalam perjalanan melalui VPN koneksi ke dan dari titik akhir dienkripsi. Untuk informasi selengkapnya, lihat Mengakses VPC titik akhir Layanan AWS menggunakan antarmuka.

  • Gunakan kunci elasticfilesystem:Encrypted kondisi dalam kebijakan IAM berbasis identitas untuk mencegah pengguna membuat sistem EFS file yang tidak dienkripsi. Untuk informasi selengkapnya, lihat Menggunakan IAM untuk menerapkan pembuatan sistem file terenkripsi.

  • KMSkunci yang digunakan untuk EFS enkripsi harus dikonfigurasi untuk akses hak istimewa paling sedikit dengan menggunakan kebijakan kunci berbasis sumber daya.

  • Gunakan kunci aws:SecureTransport kondisi dalam kebijakan sistem EFS file untuk menerapkan penggunaan TLS untuk NFS klien saat menghubungkan ke sistem EFS file. Untuk informasi selengkapnya, lihat Enkripsi data dalam perjalanan di Mengenkripsi Data File dengan Amazon Elastic File System (AWS Whitepaper).