Amazon 的加密最佳實踐 EFS

在中 AWS Config，實作受efs-encrypted-check AWS 管規則。此規則會檢查 Amazon EFS 是否設定為使用加密檔案資料 AWS KMS。

透過建立 Amazon CloudWatch 警示來監控CreateFileSystem事EFS件的 CloudTrail 日誌，並在建立未加密的檔案系統時觸發警示，對 Amazon 檔案系統強制執行加密。如需詳細資訊，請參閱逐步解說：在靜態 Amazon EFS 檔案系統上執行加密。

使用掛載輔助程EFS式掛載檔案系統。這會在用戶端和 Amazon EFS 服務之間設定並維護 TLS 1.2 通道，並透過此加密通道路由所有網路檔案系統 (NFS) 流量。下列指令會實作傳輸中加密TLS的使用。

sudo mount -t efs  -o tls file-system-id:/ /mnt/efs

如需詳細資訊，請參閱使用 EFS mount 輔助程式掛載EFS檔案系統。

使用 AWS PrivateLink，實作介面VPC端點，在VPCs和 Amazon 之間建立私有連線EFSAPI。透過端點之間的VPN連線傳輸中的資料會加密。如需詳細資訊，請參閱 AWS 服務 使用介面VPC端點存取。

在以IAM身分為基礎的原則中使用elasticfilesystem:Encrypted條件金鑰，以防止使用者建立未加密的EFS檔案系統。如需詳細資訊，請參閱使用IAM來強制建立加密檔案系統。

KMS應使用以資源為基礎的金鑰原則，為最低權限存取設定用於EFS加密的金鑰。

使用EFS檔案系統策略中的aws:SecureTransport條件金鑰，在連線至EFS檔案系統時強制TLS對用NFS戶端使用。如需詳細資訊，請參閱使用 Amazon Elastic File System 加密檔案資料中的傳輸中資料 (AWS 白皮書)。