Melhores práticas de criptografia para a Amazon EFS - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas de criptografia para a Amazon EFS

O Amazon Elastic File System (AmazonEFS) ajuda você a criar e configurar sistemas de arquivos compartilhados no Nuvem AWS.

Considere as seguintes práticas recomendadas de criptografia para esse serviço:

  • Em AWS Config, implemente a regra efs-encrypted-check AWS gerenciada. Essa regra verifica se a Amazon EFS está configurada para criptografar os dados do arquivo usando AWS KMS.

  • Aplique a criptografia para os sistemas de EFS arquivos da Amazon criando um CloudWatch alarme da Amazon que monitora CloudTrail os registros de CreateFileSystem eventos e aciona um alarme se um sistema de arquivos não criptografado for criado. Para obter mais informações, consulte Passo a passo: Aplicação da criptografia em um sistema de EFS arquivos da Amazon em repouso.

  • Monte o sistema de arquivos usando o auxiliar de EFS montagem. Isso configura e mantém um túnel TLS 1.2 entre o cliente e o EFS serviço da Amazon e roteia todo o tráfego do Network File System (NFS) por esse túnel criptografado. O comando a seguir implementa o uso de TLS para criptografia em trânsito.

    sudo mount -t efs  -o tls file-system-id:/ /mnt/efs

    Para obter mais informações, consulte Usando o auxiliar de EFS montagem para montar sistemas de EFS arquivos.

  • Usando AWS PrivateLink e implementando VPC endpoints de interface para estabelecer uma conexão privada entre VPCs e a Amazon EFSAPI. Os dados em trânsito pela VPN conexão de e para o endpoint são criptografados. Para obter mais informações, consulte Acessar e AWS service (Serviço da AWS) usar um VPC endpoint de interface.

  • Use a chave de elasticfilesystem:Encrypted condição em políticas IAM baseadas em identidade para impedir que os usuários criem sistemas de EFS arquivos que não sejam criptografados. Para obter mais informações, consulte Usando IAM para impor a criação de sistemas de arquivos criptografados.

  • KMSas chaves usadas para EFS criptografia devem ser configuradas para acesso com privilégios mínimos usando políticas de chaves baseadas em recursos.

  • Use a chave de aws:SecureTransport condição na política do sistema de EFS arquivos para impor o uso de TLS para NFS clientes ao se conectarem a um sistema de EFS arquivos. Para obter mais informações, consulte Criptografia de dados em trânsito em Criptografando dados de arquivos com o Amazon Elastic File System (AWS Whitepaper).