Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Criptografia de dados em trânsito

PDF
RSS
Modo de foco
Criptografia de dados em trânsito - Amazon Elastic File System
Como funciona a criptografia em trânsito

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

A ativação da criptografia de dados em trânsito para o sistema de arquivos do Amazon EFS é feita por meio da habilitação de Transport Layer Security (TLS) ao montar o sistema de arquivos usando o assistente de montagem do Amazon EFS. Para obter mais informações, consulte Monte sistemas de arquivos do EFS usando o assistente de montagem do EFS..

Quando a criptografia de dados em trânsito é declarada como uma opção de montagem para o sistema de arquivos do Amazon EFS, o assistente de montagem inicializa um processo de stunnel de cliente. Stunnel é uma retransmissão de rede polivalente de código aberto. O processo de stunnel do cliente escuta em uma porta local para obter o tráfego de entrada e o assistente de montagem redireciona o tráfego do cliente NFS (Network File System) para essa porta local. O assistente de montagem usa o TLS versão 1.2 para se comunicar com seu sistema de arquivos.

Como funciona a criptografia em trânsito

Para habilitar a criptografia de dados em trânsito, conecte-se ao Amazon EFS usando TLS. Recomendamos usar o auxiliar de montagem do EFS para montar seu sistema de arquivos porque ele simplifica o processo de montagem em comparação com a montagem com o NFS mount. O auxiliar de montagem do EFS gerencia o processo usando o stunnel para TLS. Se você não usa o assistente de montagem, ainda pode ativar a criptografia de dados em trânsito. Veja a seguir as etapas a serem seguidas para fazer isso.

Como habilitar a criptografia de dados em trânsito sem o assistente de montagem

  1. Faça download e instale o stunnel e anote a porta em que o aplicativo está recebendo. Consulte Como atualizar o stunnel para obter instruções sobre como fazer isso.

  2. Execute stunnel para conectar-se ao sistema de arquivos do Amazon EFS na porta 2049 usando TLS.

  3. Usando o cliente NFS, monte localhost:port, em que port é a porta que você anotou na primeira etapa.

Como a criptografia de dados em trânsito é configurada por conexão, cada montagem configurada tem um processo de stunnel dedicado em execução na instância. Por padrão, o processo de stunnel usado pelo assistente de montagem ouve nas portas locais 20049 e 21049 e se conecta ao Amazon EFS na porta 2049.

nota

Por padrão, ao usar o assistente de montagem do Amazon EFS com TLS, ele impõe a verificação do nome do host do certificado. O auxiliar de montagem do Amazon EFS usa o programa stunnel para sua funcionalidade TLS. Algumas versões do Linux não incluem uma versão do stunnel compatível com esses recursos TLS por padrão. Ao usar uma dessas versões do Linux, a montagem de um sistema de arquivos Amazon EFS usando TLS falha.

Depois de instalar o amazon-efs-utils pacote, para atualizar a versão do stunnel do seu sistema, consulteComo atualizar o stunnel.

Para problemas com criptografia, consulte Solução de problemas de criptografia.

Ao usar a criptografia de dados em trânsito, a configuração do cliente NFS é alterada. Ao inspecionar os sistemas de arquivos montados ativamente, você verá um sistema montado para 127.0.0.1 ou localhost, como no exemplo a seguir.

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Ao montar com o TLS e o assistente de montagem do EFS, você reconfigura seu cliente NFS para montagem em uma porta local. O assistente de montagem inicia um processo de stunnel de cliente que escuta nessa porta local, e o stunnel abre uma conexão criptografada com o EFS usando TLS. O assistente de montagem do EFS é responsável por configurar e manter essa conexão criptografada e a configuração associada.

Para determinar qual ID do sistema de arquivos do Amazon EFS corresponde a qual ponto de montagem local, você pode usar o comando a seguir. Substitua efs-mount-point pelo caminho local onde montou o sistema de arquivos.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Quando você usa o assistente de montagem para criptografia de dados em trânsito, ele também cria um processo chamado amazon-efs-mount-watchdog. Esse processo garante que o processo de stunnel de cada montagem esteja em execução e interrompe o stunnel quando o sistema de arquivos do Amazon EFS é desmontado. Se, por algum motivo, um processo de stunnel for encerrado inesperadamente, o processo de watchdog o reiniciará.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.