加密傳輸中的資料 - Amazon Elastic File System
傳輸中加密的運作方式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密傳輸中的資料

當您使用 Amazon EFS掛載協助程式掛載您的EFS檔案系統時,啟用 Transport Layer Security (TLS) 來啟用 Amazon 檔案系統傳輸中的資料加密。如需詳細資訊,請參閱使用EFS掛載輔助程式掛載EFS檔案系統

將傳輸中的資料加密宣告為 Amazon EFS 檔案系統的掛載選項時,掛載協助程式會初始化用戶端終止程序。Stunnel 是一種開放原始碼多功能網路轉送。用戶端嘌呤程序會在本機連接埠上接聽傳入流量,而掛載協助程式會將網路檔案系統 (NFS) 用戶端流量重新導向至此本機連接埠。掛載協助程式使用 1.2 TLS版與您的檔案系統通訊。

傳輸中加密的運作方式

若要啟用傳輸中資料的加密,您可以使用 EFS 連線到 AmazonTLS。我們建議您使用EFS掛載協助程式掛載您的檔案系統,因為相較於使用 NFS 掛載,其可簡化掛載程序mount。EFS 掛載協助程式使用 stunnel 管理 的程序TLS。如果您不是使用掛載協助程式,您仍然可以啟用對傳輸中的資料加密。高階執行步驟如下。

若要啟用傳輸中資料的加密,而不使用EFS掛載協助程式

  1. 下載並安裝 stunnel,並注意該應用程式所接聽的連接埠。請參閱 升級 stunnel 以取得執行此動作的指示。

  2. 執行 stunnel 以使用 連線至連接埠 2049 上的 Amazon EFS 檔案系統TLS。

  3. 使用NFS用戶端掛載 localhost:port,其中 port是您在第一個步驟中記下的連接埠。

由於對傳輸中的資料加密是根據每個連線所設定,每個設定的掛載擁有在執行個體上執行的專門 stunnel 程序。依預設,EFS掛載協助程式使用stunnel的程序會接聽 20049 到 21049 之間的本機連接埠,並連線至連接埠 2049 EFS上的 Amazon。

注意

根據預設,當 Amazon EFS 掛載協助程式搭配 使用時TLS,掛載協助程式會強制執行憑證主機名稱檢查。Amazon EFS掛載協助程式會將 stunnel程式用於其TLS功能。根據預設,某些版本的 Linux 不包含支援這些TLS功能的 stunnel 版本。使用其中一個 Linux 版本時,使用 安裝 Amazon EFS 檔案系統TLS失敗。

安裝 amazon-efs-utils 套件後,若要升級系統版本的匪淺版本,請參閱 升級 stunnel

對於加密的問題,請參閱 故障診斷加密

使用傳輸中資料的加密時,用戶端NFS設定會變更。檢查您的主動掛載檔案系統時,您會看到一個掛載至 127.0.0.1 或 localhost 的檔案系統,如下列範例。

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

使用 TLS和 Amazon 掛EFS載協助程式進行掛載時,您要將NFS用戶端重新設定為掛載至本機連接埠。EFS 掛載協助程式會啟動用戶端stunnel程序,該程序正在此本機連接埠上接聽,並使用 stunnel開啟EFS檔案系統的加密連線TLS。EFS 掛載協助程式負責設定和維護此加密連線和相關聯的組態。

若要判斷哪個 Amazon EFS 檔案系統 ID 對應至哪個本機掛載點,您可以使用下列命令。將 efs-mount-point 取代為您已掛載檔案系統的本機路徑。

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

使用掛載協助程式以加密傳輸中的資料時,它也會建立名為 amazon-efs-mount-watchdog 的程序。此程序可確保每個掛載的匱乏程序正在執行,並在卸載 Amazon EFS 檔案系統時停止匱乏。如果因為某些原因而導致 stunnel 程序意外終止,監視程式程序會將其重新啟動。