Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia dei dati in Amazon EFS
Amazon EFS supporta due forme di crittografia per i file system, la crittografia dei dati in transito e la crittografia a riposo. Puoi abilitare la crittografia dei dati inattivi durante la creazione di un EFS file system Amazon. Al montaggio del file system è possibile abilitare la crittografia dei dati in transito.
Se hai bisogno di FIPS 140-2 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing
Se la propria azienda è soggetto a policy aziendali o normative che richiedono la crittografia dei dati e dei metadati memorizzati su disco, consigliamo di creare un file system crittografato montando il file system utilizzando la crittografia dei dati in transito.
Come funziona la crittografia dei dati in transito
Per abilitare la crittografia dei dati in transito, ti connetti ad Amazon EFS utilizzandoTLS. Ti consigliamo di utilizzare il EFS mount helper per montare il file system perché semplifica il processo di montaggio rispetto al montaggio con. NFS mount
Il EFS mount helper gestisce il processo utilizzando for. stunnel
TLS Se non si utilizza l'helper di montaggio, è comunque possibile abilitare la crittografia dei dati in transito. Ad alto livello, i passaggi necessari per farlo sono i seguenti.
Per abilitare la crittografia dei dati in transito senza utilizzare il EFS mount helper
-
Scaricare e installare
stunnel
e annotare la porta che sulla quale si pone in ascolto l'applicazione. Per istruzioni su come eseguire questa operazione, consulta Aggiornamento di stunnel. -
Esegui
stunnel
per connetterti al tuo EFS file system Amazon sulla porta 2049 utilizzandoTLS. -
Usando il NFS client, mount
localhost:
,port
dov'è la porta che hai annotato nel primo passaggio.port
Poiché la crittografia dei dati in transito viene configurata su base connessione, a ogni montaggio configurato deve a corrispondere un processo stunnel
dedicato in esecuzione sull'istanza. Per impostazione predefinita, il stunnel
processo utilizzato dal EFS mount helper ascolta su una porta locale compresa tra 20049 e 21049 e si connette ad Amazon EFS sulla porta 2049.
Nota
Per impostazione predefinita, quando si utilizza Amazon EFS mount helper withTLS, il mount helper impone il controllo del nome host del certificato. Amazon EFS mount helper utilizza il stunnel
programma per le sue TLS funzionalità. Alcune versioni di Linux non includono una versione di stunnel che supporta queste TLS funzionalità per impostazione predefinita. Quando si utilizza una di queste versioni di Linux, il montaggio di un EFS file system Amazon utilizzando TLS non riesce.
Dopo aver installato il amazon-efs-utils pacchetto, per aggiornare la versione di stunnel del tuo sistema, consultaAggiornamento di stunnel.
Per problemi relativi alla crittografia, consultare Risoluzione dei problemi di crittografia.
Quando si utilizza la crittografia dei dati in transito, la configurazione NFS del client viene modificata. Quando si ispezionano i tuoi file system montati, se ne vede uno montato all'indirizzo 127.0.0.1 o localhost
, come nell'esempio seguente.
$
mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Durante il montaggio con TLS Amazon EFS mount helper, stai riconfigurando il NFS client per il montaggio su una porta locale. Il EFS mount helper avvia un stunnel
processo client che è in ascolto su questa porta locale e stunnel
apre una connessione crittografata al EFS file system utilizzando. TLS Il EFS mount helper è responsabile della configurazione e della manutenzione di questa connessione crittografata e della configurazione associata.
Per determinare quale ID EFS del file system Amazon corrisponde a quale punto di montaggio locale, puoi utilizzare il seguente comando. Sostituire
con il percorso locale in cui è stato montato il file system.efs-mount-point
grep -E "Successfully mounted.*
efs-mount-point
" /var/log/amazon/efs/mount.log | tail -1
Quando si utilizza l'helper di montaggio per la crittografia dei dati in transito, questo crea anche un processo denominato amazon-efs-mount-watchdog
. Questo processo assicura che il processo di stunnel di ogni montaggio sia in esecuzione e interrompe lo stunnel quando il EFS file system Amazon viene smontato. Se per qualsiasi motivo un processo stunnel si arresta in modo inatteso, il processo watchdog lo riavvia.