As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia de dados em trânsito

A ativação da criptografia de dados em trânsito para seu sistema de EFS arquivos da Amazon é feita ativando o Transport Layer Security (TLS) ao montar seu sistema de arquivos usando o auxiliar de EFS montagem da Amazon. Para obter mais informações, consulte Montando sistemas de EFS arquivos usando o auxiliar de EFS montagem.

Quando a criptografia de dados em trânsito é declarada como uma opção de montagem para seu sistema de EFS arquivos da Amazon, o auxiliar de montagem inicializa um processo de tunnel do cliente. Stunnel é uma retransmissão de rede polivalente de código aberto. O processo de túnel do cliente escuta o tráfego de entrada em uma porta local, e o auxiliar de montagem redireciona o tráfego do cliente do Network File System (NFS) para essa porta local. O auxiliar de montagem usa a TLS versão 1.2 para se comunicar com seu sistema de arquivos.

Como funciona a criptografia em trânsito

Para habilitar a criptografia de dados em trânsito, você se conecta à Amazon EFS usandoTLS. Recomendamos usar o auxiliar de EFS montagem para montar seu sistema de arquivos porque ele simplifica o processo de montagem em comparação com a montagem com. NFS mount O auxiliar de EFS montagem gerencia o processo usando stunnel forTLS. Se você não usa o assistente de montagem, ainda pode ativar a criptografia de dados em trânsito. Veja a seguir as etapas a serem seguidas para fazer isso.

Como a criptografia de dados em trânsito é configurada por conexão, cada montagem configurada tem um processo de stunnel dedicado em execução na instância. Por padrão, o stunnel processo usado pelo auxiliar de EFS montagem escuta em uma porta local que varia de 20049 a 21049 e se conecta à Amazon na porta 2049. EFS

Ao usar a criptografia de dados em trânsito, a configuração NFS do seu cliente é alterada. Ao inspecionar os sistemas de arquivos montados ativamente, você verá um sistema montado para 127.0.0.1 ou localhost, como no exemplo a seguir.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Ao montar com TLS o assistente de montagem da AmazonEFS, você está reconfigurando seu NFS cliente para ser montado em uma porta local. O auxiliar de EFS montagem inicia um stunnel processo cliente que está escutando nessa porta local e stunnel está abrindo uma conexão criptografada com o sistema de EFS arquivos usandoTLS. O auxiliar de EFS montagem é responsável por configurar e manter essa conexão criptografada e a configuração associada.

Para determinar qual ID EFS do sistema de arquivos da Amazon corresponde a qual ponto de montagem local, você pode usar o comando a seguir. Substitua efs-mount-point pelo caminho local onde montou o sistema de arquivos.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Quando você usa o assistente de montagem para criptografia de dados em trânsito, ele também cria um processo chamado amazon-efs-mount-watchdog. Esse processo garante que o processo de tunnel de cada montagem esteja em execução e interrompe o stunnel quando o sistema de EFS arquivos da Amazon é desmontado. Se, por algum motivo, um processo de stunnel for encerrado inesperadamente, o processo de watchdog o reiniciará.