Exemplarische Anleitung: Erzwingen der Verschlüsselung auf einem Amazon EFS-Dateisystem im Ruhezustand - Amazon Elastic File System
Erzwingen von Verschlüsselung im Ruhezustand

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Exemplarische Anleitung: Erzwingen der Verschlüsselung auf einem Amazon EFS-Dateisystem im Ruhezustand

Im Folgenden finden Sie Details zum Erzwingen der Verschlüsselung im Ruhezustand mit Amazon CloudWatch undAWS CloudTrailaus. Diese exemplarische Vorgehensweise basiert auf derAWSWhitepaperVerschlüsseln gespeicherter Daten mit Amazon EFS Encrypted File Systemsaus.

Anmerkung

Die in dieser exemplarische Vorgehensweise beschriebene Methode zur Durchsetzung der Erstellung von Amazon EFS-Dateisystemen, die im Ruhezustand verschlüsselt sind, ist veraltet. Die bevorzugte Methode zur Erzwingung der Erstellung gespeicherter Dateisysteme ist die Verwendung derelasticfilesystem:EncryptedBedingungsschlüssel fürAWS Identity and Access ManagementIdentitätsbasierte -Richtlinien. Weitere Informationen finden Sie unter Beispiel: Erzwingen Sie die Erstellung verschlüsselter Dateisysteme . Sie können diese exemplarische Vorgehensweise verwenden, um CloudWatch-Alarme zu erstellen, um zu überprüfen, dass Ihre IAM-Richtlinien die Erstellung unverschlüsselter Dateisysteme verhindern.

Erzwingen von Verschlüsselung im Ruhezustand

Ihr Unternehmen erfordert möglicherweise die Verschlüsselung aller gespeicherten Daten, die einer bestimmten Klassifizierung zugeordnet sind oder zu einer speziellen Anwendung oder Umgebung bzw. zu einem speziellen Workload gehören. Sie können Richtlinien für die Verschlüsselung von Daten im Ruhezustand für Amazon EFS-Dateisysteme mithilfe von aufdeckenden Kontrollen durchsetzen. Diese Kontrollen erkennen die Erstellung eines Dateisystems und überprüfen, ob die Verschlüsselung im Ruhezustand aktiviert ist.

Wenn ein Dateisystem ohne Verschlüsselung im Ruhezustand erkannt wird, können Sie auf verschiedene Weise reagieren. Die Möglichkeiten reichen vom Löschen des Dateisystems und der Mounting-Ziele bis zur Benachrichtigung eines Administrators.

Wenn Sie ein im Ruhezustand nicht verschlüsseltes Dateisystem löschen, die Daten aber behalten möchten, erstellen Sie zuerst ein neues, im Ruhezustand verschlüsseltes Dateisystem. Kopieren Sie als Nächstes die Daten in dieses neue Dateisystem. Nachdem die Daten kopiert wurden, können Sie das Dateisystem ohne Verschlüsselung im Ruhezustand löschen.

Erkennen von Dateisystemen, die im Ruhezustand unverschlüsselt sind

Sie können einen CloudWatch-Alarm zum Überwachen der CloudTrail-Protokolle fürCreateFileSystemevent. Lösen Sie den Alarm aus, um einen Administrator zu benachrichtigen, wenn für das erstellte Dateisystem keine Verschlüsselung im Ruhezustand definiert wurde.

Erstellen eines Metrikfilters

Zum Erstellen eines CloudWatch-Alarms, der ausgelöst wird, wenn ein unverschlüsseltes Amazon EFS-Dateisystem erstellt wurde, gehen Sie wie folgt vor.

Bevor Sie beginnen, müssen Sie einen vorhandenen Trail erstellt haben, der CloudTrail-Protokolle an eine CloudWatch-Logs-Protokollgruppe sendet. Weitere Informationen finden Sie unterSenden von Ereignissen an CloudWatch LogsimAWS CloudTrail-Benutzerhandbuchaus.

So erstellen Sie einen Metrikfilter

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Logs (Logs) aus.

  3. Wählen Sie in der Liste von Protokollgruppen die Protokollgruppe aus, die Sie für CloudTrail-Protokollereignisse erstellt haben.

  4. Wählen Sie Create Metric Filter.

  5. Wählen Sie auf der Seite Define Logs Metric Filter (Protokollmetrikfilter definieren) die Option Filter Pattern (Filtermuster) aus und geben Sie Folgendes ein:

    { ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) }

  6. Wählen Sie Assign Metric.

  7. Geben Sie in Filter Name UnencryptedFileSystemCreated ein.

  8. Geben Sie für Namespace der Metrik den Wert CloudTrailMetrics ein.

  9. Geben Sie für Metrikname den Wert UnencryptedFileSystemCreatedEventCount ein.

  10. Wählen Sie Show advanced metric settings.

  11. Geben Sie in Metric Value (Metrikwert) 1 ein.

  12. Wählen Sie Create Filter (Filter erstellen).

Einrichten eines Alarms

Befolgen Sie nach der Erstellung des Metrikfilters die folgenden Schritte, um einen Alarm zu erstellen.

So erstellen Sie einen Alarm

  1. Wählen Sie auf der Seite Filters (Filter) für Log_Group_Name neben dem Filternamen UnencryptedFileSystemCreated die Option Create Alarm (Alarm erstellen) aus.

  2. Legen Sie auf der Seite Create Alarm (Alarm erstellen) die folgenden Parameter fest:

    • Geben Sie für Name Unencrypted File System Created ein.

    • Definieren Sie bei Whenever (Jedes Mal) Folgendes:

      • Legen Sie is (ist) auf > = 1 fest.

      • Legen Sie for: (für) auf 1 aufeinanderfolgenden Zeitraum fest.

    • Wählen Sie bei Treat missing data as (Fehlende Daten behandeln als) die Option good (not breaching threshold) (gut [keine Verletzung des Schwellenwerts]) aus.

    • Nehmen Sie bei Actions (Aktionen) die folgenden Einstellungen vor:

      • Wählen Sie für Whenever this alarm die Option State is ALARM aus.

      • Wählen Sie bei Send notification to (Benachrichtigung senden an) die Option NotifyMe und New list (Neue Liste) aus. Geben Sie einen eindeutigen Themennamen für diese Liste ein.

      • Geben Sie bei Email list (E-Mail-Liste) die E-Mail-Adresse ein, an die die Benachrichtigungen gesendet werden sollen. Sie sollten eine E-Mail an diese Adresse als Bestätigung darüber erhalten, dass Sie den Alarm erstellt haben.

    • Für Alarm Preview (Alarm-Vorschau) legen Sie Folgendes fest:

      • Wählen Sie als Period (Zeitraum) 1 Minute aus.

      • Legen Sie für Statistic (Statistik) die Optionen Standard und Sum (Summe) fest.

  3. Wählen Sie Create Alarm (Alarm erstellen) aus.

Testen des Alarms für die Erstellung von unverschlüsselten Dateisystemen

Sie können den Alarm testen, indem Sie ein Dateisystem ohne Verschlüsselung im Ruhezustand erstellen, wie im Folgenden beschrieben.

So testen Sie den Alarm durch Erstellen eines Dateisystems ohne Verschlüsselung im Ruhezustand

  1. Melden Sie sich beim anAWS Management Consoleund öffnen Sie die Amazon EFS-Konsole unterhttps://console.aws.amazon.com/efs/aus.

  2. Klicken Sie aufErstellen Sie -DateisystemSo zeigen Sie den anErstellen Sie -DateisystemDialogfeld (Dialogfeld).

  3. Um ein Dateisystem zu erstellen, das im Ruhezustand unverschlüsselt ist, wählen SieAnpassen vonSo zeigen Sie den anDateisystemeinstellungenangezeigten.

  4. FürAllgemeinesGeben Sie Folgendes ein.

    1. (Optional) Geben Sie einen einNamefür das -Dateisystem.

    2. Behalten SieVerwaltung des Lebenszyklus,Leistungsmodus, undDurchsatzmodusLegen Sie auf die Standardwerte fest.

    3. Deaktivieren SieVerschlüsselungdurch Löschen vonVerschlüsselung gespeicherter Daten aktivierenaus.

  5. Klicken Sie aufWeiterSo fahren Sie zumNetzwerkzugriffSchritt im Konfigurationsprozess.

  6. Wählen Sie den Standardwert ausVirtual Private Cloud (VPC)aus.

  7. FürMount-ZieleWählen Sie den Standardwert ausSicherheitsgruppenFür jedes Mounting-Ziel.

  8. Klicken Sie aufWeiterSo zeigen Sie den anDateisystem-Richtlinieangezeigten.

  9. Klicken Sie aufWeiterSo fahren Sie zumÜberprüfen und erstellenangezeigten.

  10. Überprüfen Sie das Dateisystem und wählen SieGeben Sie einen Namen für den Benutzer ein und klicken Sie dann aufum Ihr Dateisystem zu erstellen und zu denDateisystemeangezeigten.

Der Trail protokolliert denCreateFileSystem-Betrieb und übermittelt das Ereignis an die CloudWatch-Logs-Protokollgruppe. Das Ereignis löst Ihren Metrikalarm aus und CloudWatch Logs sendet Ihnen eine Benachrichtigung über die Änderung.