Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei dati in Amazon EFS

Amazon EFS supporta due forme di crittografia per i file system, la crittografia dei dati in transito e la crittografia a riposo. Puoi abilitare la crittografia dei dati inattivi durante la creazione di un EFS file system Amazon. Al montaggio del file system è possibile abilitare la crittografia dei dati in transito.

Se hai bisogno di FIPS 140-2 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-2. FIPS

Se la propria azienda è soggetto a policy aziendali o normative che richiedono la crittografia dei dati e dei metadati memorizzati su disco, consigliamo di creare un file system crittografato montando il file system utilizzando la crittografia dei dati in transito.

Come funziona la crittografia dei dati in transito

Per abilitare la crittografia dei dati in transito, ti connetti ad Amazon EFS utilizzandoTLS. Ti consigliamo di utilizzare il EFS mount helper per montare il file system perché semplifica il processo di montaggio rispetto al montaggio con. NFS mount Il EFS mount helper gestisce il processo utilizzando for. stunnel TLS Se non si utilizza l'helper di montaggio, è comunque possibile abilitare la crittografia dei dati in transito. Ad alto livello, i passaggi necessari per farlo sono i seguenti.

Poiché la crittografia dei dati in transito viene configurata su base connessione, a ogni montaggio configurato deve a corrispondere un processo stunnel dedicato in esecuzione sull'istanza. Per impostazione predefinita, il stunnel processo utilizzato dal EFS mount helper ascolta su una porta locale compresa tra 20049 e 21049 e si connette ad Amazon EFS sulla porta 2049.

Quando si utilizza la crittografia dei dati in transito, la configurazione NFS del client viene modificata. Quando si ispezionano i tuoi file system montati, se ne vede uno montato all'indirizzo 127.0.0.1 o localhost, come nell'esempio seguente.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Durante il montaggio con TLS Amazon EFS mount helper, stai riconfigurando il NFS client per il montaggio su una porta locale. Il EFS mount helper avvia un stunnel processo client che è in ascolto su questa porta locale e stunnel apre una connessione crittografata al EFS file system utilizzando. TLS Il EFS mount helper è responsabile della configurazione e della manutenzione di questa connessione crittografata e della configurazione associata.

Per determinare quale ID EFS del file system Amazon corrisponde a quale punto di montaggio locale, puoi utilizzare il seguente comando. Sostituire efs-mount-point con il percorso locale in cui è stato montato il file system.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Quando si utilizza l'helper di montaggio per la crittografia dei dati in transito, questo crea anche un processo denominato amazon-efs-mount-watchdog. Questo processo assicura che il processo di stunnel di ogni montaggio sia in esecuzione e interrompe lo stunnel quando il EFS file system Amazon viene smontato. Se per qualsiasi motivo un processo stunnel si arresta in modo inatteso, il processo watchdog lo riavvia.