転送中のデータの暗号化 - Amazon Elastic File System
転送中の暗号化の動作

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

転送中のデータの暗号化

Amazon EFS ファイルシステムの転送中のデータの暗号化を有効にするには、Amazon EFSマウントヘルパーを使用してファイルシステムをマウントするときに Transport Layer Security (TLS) を有効にします。詳細については、「マウントヘルパーを使用したEFSファイルシステムのEFSマウント」を参照してください。

転送中のデータの暗号化が Amazon EFS ファイルシステムのマウントオプションとして宣言されると、マウントヘルパーはクライアントスタンネルプロセスを初期化します。stunnel はオープンソースの多目的ネットワークリレーです。クライアントスタンネルプロセスはローカルポートでインバウンドトラフィックをリッスンし、マウントヘルパーはネットワークファイルシステム (NFS) クライアントトラフィックをこのローカルポートにリダイレクトします。マウントヘルパーはTLS、バージョン 1.2 を使用してファイルシステムと通信します。

転送中の暗号化の動作

転送中のデータの暗号化を有効にするには、 EFSを使用して Amazon に接続しますTLS。EFS マウントヘルパーを使用してファイルシステムをマウントすることをお勧めします。これは、 NFS を使用したマウントと比較して、マウントプロセスが簡素化されるためですmount。EFS マウントヘルパーは、 stunnel の を使用してプロセスを管理しますTLS。マウントヘルパーを使用していない場合でも、転送中のデータの暗号化を有効にすることができます。そうする場合の手順の概略は以下のとおりです。

EFS マウントヘルパーを使用せずに転送中のデータの暗号化を有効にするには

  1. stunnel をダウンロードしてインストールし、アプリケーションがリッスンするポートを書き留めます。その手順については、「stunnel のアップグレード」を参照してください。

  2. stunnel を実行して、 を使用してポート 2049 の Amazon EFS ファイルシステムに接続しますTLS。

  3. NFS クライアントを使用して、 をマウントします。ここでlocalhost:portportは最初のステップでメモしたポートです。

接続ごとに転送中のデータ暗号化が設定されているため、設定された各マウントにはインスタンスで実行される専用の stunnel プロセスがあります。デフォルトでは、EFSマウントヘルパーが使用するstunnelプロセスは 20049 から 21049 までのローカルポートをリッスンし、ポート 2049 EFSで Amazon に接続します。

注記

デフォルトでは、 で Amazon EFSマウントヘルパーを使用する場合TLS、マウントヘルパーは証明書のホスト名チェックを適用します。Amazon EFSマウントヘルパーは、そのTLS機能に stunnel プログラムを使用します。Linux の一部のバージョンには、デフォルトでこれらのTLS機能をサポートする stunnel のバージョンは含まれていません。これらの Linux バージョンのいずれかを使用する場合、 を使用した Amazon EFS ファイルシステムのマウントはTLS失敗します。

amazon-efs-utils パッケージをインストールしたら、システムバージョンの stunnel をアップグレードするには、「」を参照してくださいstunnel のアップグレード

暗号化の問題については、「暗号化のトラブルシューティング」を参照してください。

転送中のデータの暗号化を使用すると、NFSクライアント設定が変更されます。アクティブにマウントされたファイルシステムを検査する場合、次の例に示すように、127.0.0.1 または localhost にマウントされたことが表示されます。

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

TLS と Amazon EFSマウントヘルパーでマウントする場合、NFSクライアントをローカルポートにマウントするように再設定します。EFS マウントヘルパーは、このローカルポートでリッスンしているクライアントstunnelプロセスを開始し、 を使用してEFSファイルシステムへの暗号化された接続stunnelを開きますTLS。EFS マウントヘルパーは、この暗号化された接続とそれに関連する設定をセットアップして維持する責任があります。

どの Amazon EFS ファイルシステム ID がどのローカルマウントポイントに対応するかを確認するには、次のコマンドを使用します。efs-mount-point を、ファイルシステムをマウントしたローカルパスに置き換えます。

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

転送中のデータの暗号化にマウントヘルパーを使用する場合は、amazon-efs-mount-watchdog というプロセスも作成されます。このプロセスにより、各マウントのスタンネルプロセスが実行され、Amazon EFS ファイルシステムがマウント解除されるとスタンネルが停止します。何らかの理由で、stunnel プロセスが予期せず終了した場合、ウォッチドッグプロセスにより再開されます。