翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon の暗号化のベストプラクティス EFS
Amazon Elastic File System (Amazon EFS) は、 で共有ファイルシステムを作成および設定するのに役立ちます AWS クラウド。
このサービスでは、以下の暗号化のベストプラクティスを検討してください。
-
で AWS Config、 efs-encrypted-check AWS マネージドルールを実装します。このルールは、Amazon EFSが を使用してファイルデータを暗号化するように設定されているかどうかを確認します AWS KMS。
-
CreateFileSystem
イベントの CloudTrail ログをモニタリングし、暗号化されていないEFSファイルシステムが作成されるとアラームをトリガーする Amazon CloudWatch アラームを作成して、Amazon ファイルシステムの暗号化を強制します。詳細については、「チュートリアル: 保管中の Amazon EFS ファイルシステムで暗号化を適用する」を参照してください。 -
マウントEFSヘルパー を使用してファイルシステムをマウントします。これにより、クライアントと Amazon EFSサービス間の TLS 1.2 トンネルがセットアップおよび維持され、すべての Network File System (NFS) トラフィックがこの暗号化されたトンネルにルーティングされます。次のコマンドは、転送中の暗号化TLSに の使用を実装します。
sudo mount -t efs -o tls file-system-id:/ /mnt/efs
詳細については、EFS「マウントヘルパーを使用してEFSファイルシステムをマウントする」を参照してください。
-
を使用して AWS PrivateLinkインターフェイスVPCエンドポイントを実装し、 VPCs と Amazon EFS 間のプライベート接続を確立しますAPI。エンドポイントとVPNの接続を介した転送中のデータは暗号化されます。詳細については、「インターフェイスVPCエンドポイント AWS のサービス を使用して にアクセスする」を参照してください。
-
IAM ID ベースのポリシーで
elasticfilesystem:Encrypted
条件キーを使用して、ユーザーが暗号化されていないEFSファイルシステムを作成できないようにします。詳細については、「 を使用して暗号化されたファイルシステムの作成を強制IAMする」を参照してください。 -
KMS EFS暗号化に使用されるキーは、リソースベースのキーポリシーを使用して、最小特権アクセス用に設定する必要があります。
-
EFS ファイルシステムポリシーの
aws:SecureTransport
条件キーを使用して、EFSファイルシステムに接続するときに NFS クライアントTLSに の使用を適用します。詳細については、https://docs.aws.amazon.com/whitepapers/latest/efs-encrypted-file-systems/encryption-of-data-in-transit.htmlAmazon Elastic File System によるファイルデータの暗号化」 (AWS ホワイトペーパー) を参照してください。