翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon の暗号化のベストプラクティス EFS
Amazon Elastic File System (Amazon EFS) は、 で共有ファイルシステムを作成および設定するのに役立ちます AWS クラウド。
このサービスでは、以下の暗号化のベストプラクティスを検討してください。
-
で AWS Config、 efs-encrypted-check AWS マネージドルールを実装します。このルールは、Amazon EFSが を使用してファイルデータを暗号化するように設定されているかどうかを確認します AWS KMS。
-
CreateFileSystem
イベントの CloudTrail ログをモニタリングし、暗号化されていないEFSファイルシステムが作成された場合に CloudWatch アラームをトリガーする Amazon アラームを作成して、Amazon ファイルシステムの暗号化を強制します。詳細については、「チュートリアル: 保管中の Amazon EFS ファイルシステムで暗号化を適用する」を参照してください。 -
マウントEFSヘルパー を使用してファイルシステムをマウントします。これにより、クライアントと Amazon EFSサービス間の TLS 1.2 トンネルがセットアップおよび維持され、この暗号化されたトンネルを介してすべてのネットワークファイルシステム (NFS) トラフィックがルーティングされます。次のコマンドは、転送時の暗号化TLSに の使用を実装します。
sudo mount -t efs -o tls file-system-id:/ /mnt/efs
詳細については、EFS「マウントヘルパーを使用してEFSファイルシステムをマウントする」を参照してください。
-
を使用して AWS PrivateLink、インターフェイスVPCエンドポイントを実装し、 VPCsと Amazon EFS の間にプライベート接続を確立しますAPI。エンドポイントとVPNの接続を介して転送中のデータは暗号化されます。詳細については、「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
-
IAM アイデンティティベースのポリシーで
elasticfilesystem:Encrypted
条件キーを使用して、ユーザーが暗号化されていないEFSファイルシステムを作成できないようにします。詳細については、「 を使用して暗号化されたファイルシステムの作成を強制IAMする」を参照してください。 -
KMS EFS暗号化に使用される キーは、リソースベースのキーポリシーを使用して最小特権アクセス用に設定する必要があります。
-
EFS ファイルシステムポリシーの
aws:SecureTransport
条件キーを使用して、EFSファイルシステムに接続するときにNFSクライアントTLSに の使用を強制します。詳細については、「Amazon Elastic File System によるファイルデータの暗号化」(ホワイトペーパー) の「転送中のデータの暗号化 Amazon Elastic File System」を参照してください。AWS