Schritt 1. Konfigurieren der Dateisystemeinstellungen Schritt 2. Konfigurieren des Netzwerkzugriffs Schritt 3. Erstellen einer Dateisystemrichtlinie Schritt 4. Überprüfen und erstellen

Erstellen eines verschlüsselten Dateisystems mit der AWS-Managementkonsole

Gehen Sie wie folgt vor, um mit der AWS-Managementkonsole ein verschlüsseltes Amazon-EFS-Dateisystem zu erstellen.

Schritt 1. Konfigurieren der Dateisystemeinstellungen

In diesem Schritt konfigurieren Sie die allgemeinen Dateisystemeinstellungen, einschließlich Lebenszyklusverwaltung, Leistungs- und Durchsatzmodi sowie Verschlüsselung von Data-at-Rest.

Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-EFS-Konsole.
Wählen Sie Create file system (Dateisystem erstellen) aus, um das Dialogfeld Create file system (Dateisystem erstellen) zu öffnen. Weitere Informationen zum Erstellen eines Dateisystems mithilfe der empfohlenen Einstellungen, die die standardmäßige Aktivierung der Verschlüsselung beinhalten, finden Sie unter Erstellen Sie Ihr Amazon-EFS-Dateisystem.

Erstellen eines EFS-Dateisystems
(Optional) Wählen Sie Customize (Anpassen) aus, um ein angepasstes Dateisystem zu erstellen, anstatt ein Dateisystem mit den empfohlenen Einstellungen für den Service zu erstellen.

Die Seite „File system settings“ (Dateisystemeinstellungen) wird angezeigt.

Erstellen eines EFS-Dateisystems: allgemeine Einstellungen
Geben Sie unter General (Allgemeine) Einstellungen folgende Details ein.
- (Optional) Geben Sie einen Namen für das Dateisystem ein.
- Automatic backups (Automatische Sicherungen) ist standardmäßig aktiviert. Sie können die automatische Sicherungen deaktivieren, indem Sie das Kontrollkästchen deaktivieren. Weitere Informationen finden Sie unter Verwenden von AWS Backup mit Amazon EFS.
- Wählen Sie eine Richtlinie zur Lebenszyklusverwaltung aus. Die Amazon-EFS-Lebenszyklusverwaltung dient der automatischen Verwaltung der kostengünstigen Dateispeicherung für Ihre Dateisysteme. Wenn diese Option aktiviert ist, migriert die Lebenszyklusverwaltung automatisch Dateien, auf die innerhalb eines bestimmten Zeitraums nicht zugegriffen wurde, in die Infrequent-Access (IA)-Speicherklasse. Sie definieren den gewünschten Zeitraum mithilfe einer Lebenszyklusrichtlinie. Wenn Sie die Lebenszyklusverwaltung nicht aktivieren möchten, wählen Sie None (Keine) aus. Weitere Informationen finden Sie unter EFS-Lebenszyklusverwaltung im Amazon EFS – Benutzerhandbuch.
- Wählen Sie einen Performance mode (Leistungsmodus) aus, entweder den Standardmodus General Purpose (Allzweckmodus) oder Max I/O. Weitere Informationen finden Sie unter Leistungsmodi im Amazon EFS – Benutzerhandbuch.
- Wählen Sie einen Throughput mode (Durchsatzmodus) aus, entweder den Standard-Bursting- oder den Modus Provisioned (Bereitgestellt) .
- Wenn Sie Provisioned (Bereitgestellt) wählen, wird das Feld Provisioned Throughput (Bereitgestellter Durchsatz) (MiB/s) angezeigt. Geben Sie den Durchsatz ein, der für das Dateisystem bereitgestellt werden soll. Nachdem Sie den Durchsatz eingegeben haben, zeigt die Konsole neben dem Feld eine Schätzung der monatlichen Kosten an. Weitere Informationen finden Sie unter Durchsatzmodi im Amazon EFS –Benutzerhandbuch.
- Bei Encryption (Verschlüsselung) ist die Verschlüsselung von Data-at-Rest standardmäßig aktiviert. Standardmäßig wird Ihr AWS Key Management Service(AWS KMS)-EFS-Serviceschlüssel (aws/elasticfilesystem) verwendet. Um einen anderen KMS-Schlüssel für die Verschlüsselung auszuwählen, erweitern Sie „Customize encryption settings“ (Verschlüsselungseinstellungen anpassen) und wählen Sie einen Schlüssel aus der Liste aus. Oder geben Sie eine KMS-Schlüssel-ID oder einen Amazon-Ressourcennamen (ARN) für den KMS-Schlüssel ein, den Sie verwenden möchten.
  
  Wenn Sie einen neuen Schlüssel erstellen müssen, wählen Sie Create an AWS KMS Key (AWS KMS-Schlüssel erstellen) aus, um die AWS-KMS-Konsole zu starten und einen neuen Schlüssel zu erstellen.
(Optional) Wählen Sie Add Tag (Tag hinzufügen) aus, um Schlüssel-Wert-Paare zu Ihrem Dateisystem hinzuzufügen.
Wählen Sie Next (Weiter), um mit dem Schritt Network Access (Netzwerkzugriff) im Konfigurationsprozess fortzufahren.

Schritt 2. Konfigurieren des Netzwerkzugriffs

In diesem Schritt konfigurieren Sie die Netzwerkeinstellungen des Dateisystems, einschließlich der Virtual Private Cloud (VPC) und Mounting-Ziele. Legen Sie für jedes Mounting-Ziel die Availability Zone, das Subnetz, die IP-Adresse und die Sicherheitsgruppen fest.

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

Erstellen eines EFS-Dateisystems: Netzwerkzugriff

Wählen Sie die Virtual Private Cloud (VPC) aus, in der EC2-Instances eine Verbindung zu Ihrem Dateisystem herstellen sollen. Weitere Informationen finden Sie unter Verwalten der Netzwerkzugänglichkeit des Dateisystems im Amazon EFS – Benutzerhandbuch.
- Availability Zone – Standardmäßig wird in jeder Availability Zone in einer AWS-Region ein Mounting-Ziel konfiguriert. Wenn Sie kein Mounting-Ziel in einer bestimmten Availability Zone wünschen, wählen Sie Remove (Entfernen), um das Mounting-Ziel für diese Zone zu löschen. Erstellen Sie ein Mounting-Ziel in jeder Availability Zone, von der aus Sie auf Ihr Dateisystem zugreifen möchten. Dafür fallen keine Kosten an.
- Subnet ID (Subnetz-ID) – Wählen Sie unter den verfügbaren Subnetzen in einer Availability Zone aus. Das Standard-Subnetz ist vorab ausgewählt. Stellen Sie als bewährte Methode sicher, dass das gewählte Subnetz gemäß Ihren Sicherheitsanforderungen öffentlich oder privat ist.
- IP Address (IP-Adresse) – Standardmäßig wählt Amazon EFS die IP-Adresse automatisch aus den in dem Subnetz verfügbaren Adressen aus. Sie können auch eine bestimmte IP-Adresse eingeben, die sich in dem Subnetz befindet. Obwohl Mounting-Ziele eine einzige IP-Adresse haben, handelt es sich dabei um redundante, hoch verfügbare Netzwerkressourcen.
- Security groups (Sicherheitsgruppen) – Sie können für das Mounting-Ziel eine oder mehrere Sicherheitsgruppen angeben. Stellen Sie als bewährte Methode sicher, dass die Sicherheitsgruppe nur für EFS-Mounting-Zwecke verwendet wird (NFS-Port 2049) und eingehende Regeln nur Port 2049 aus einem anderen VPC-CIDR-Blockbereich zulassen, oder verwenden Sie die Sicherheitsgruppe als Quelle für Ressourcen, die auf EFS zugreifen müssen. Weitere Informationen finden Sie unter Verwenden von Sicherheitsgruppen für Amazon-EC2-Instances und Mounting-Ziele im Amazon EFS – Benutzerhandbuch.
  
  Um eine weitere Sicherheitsgruppe hinzuzufügen oder die Sicherheitsgruppe zu ändern, wählen Sie Choose security groups (Sicherheitsgruppen auswählen) und fügen Sie eine weitere Sicherheitsgruppe aus der Liste hinzu. Wenn Sie die Standardsicherheitsgruppe nicht verwenden möchten, können Sie sie löschen. Weitere Informationen finden Sie unter Erstellen von Sicherheitsgruppen im Amazon EFS – Benutzerhandbuch.
Wählen Sie Add mount target (Mounting-Ziel hinzufügen), um ein Mounting-Ziel für eine Availability Zone zu erstellen, die keines hat. Wenn für jede Availability Zone ein Mounting-Ziel konfiguriert ist, ist diese Option nicht verfügbar.
Wählen Sie Weiter, um fortzufahren. Die Seite File system policy (Dateisystemrichtlinie) wird angezeigt.

Schritt 3. Erstellen einer Dateisystemrichtlinie

In diesem Schritt erstellen Sie eine Dateisystemrichtlinie zum Steuern des NFS-Clientzugriffs auf das Dateisystem. Eine EFS-Dateisystemrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie zum Steuern des NFS-Clientzugriffs auf das Dateisystem verwenden. Weitere Informationen finden Sie unter Verwenden von IAM zur Steuerung des NFS-Zugriffs auf Amazon EFS im Amazon EFS-Benutzerhandbuch.

File system policy configuration interface with policy options and JSON editor.

Erstellen eines EFS-Dateisystems: Dateisystemrichtlinie

In den Richtlinienoptionen empfehlen wir, dass Sie die folgenden verfügbaren vorkonfigurierten Richtlinienoptionen auswählen:
- Standardmäßig den Root-Zugriff verhindern
- Standardmäßig den schreibgeschützten Zugriff erzwingen
- Durchsetzen der Verschlüsselung während des Transports für alle Clients
Verwenden Sie Grant additional permissions (Zusätzliche Berechtigungen erteilen), um zusätzlichen IAM-Prinzipalen, einschließlich eines anderen AWS-Kontos, Dateisystemberechtigungen zu erteilen. Wählen Sie Add (Hinzufügen) aus, geben Sie dann den Prinzipal-ARN der Entität ein, für die Sie Berechtigungen erteilen, und wählen Sie dann die zu erteilenden Permissions (Berechtigungen) aus.
Verwenden Sie den Policy editor (Richtlinien-Editor), um eine vorkonfigurierte Richtlinie anzupassen oder eine eigene Richtlinie basierend auf Ihren Anforderungen zu erstellen. Wenn Sie eine der vorkonfigurierten Richtlinien auswählen, wird die JSON-Richtliniendefinition im Richtlinieneditor angezeigt.
Wählen Sie Weiter, um fortzufahren. Die Seite Review and create (Überprüfen und Erstellen) wird angezeigt.

Schritt 4. Überprüfen und erstellen

In diesem Schritt überprüfen Sie die Dateisystemeinstellungen, nehmen Änderungen vor und erstellen das Dateisystem.

Review and create page showing file system settings, network access, and policy details.

Erstellen eines EFS-Dateisystems: Prüfen und Erstellen

Überprüfen Sie die einzelnen Dateisystemkonfigurationsgruppen. Sie können zu diesem Zeitpunkt Änderungen an jeder Gruppe vornehmen, indem Sie „Edit“ (Bearbeiten) auswählen.
Wählen Sie „Create“ (Erstellen) aus, um Ihr Dateisystem zu erstellen und zur Seite „File systems“ (Dateisysteme) zurückzukehren.
Auf der Seite „File systems“ (Dateisysteme) werden das Dateisystem und seine Konfigurationsdetails angezeigt, wie in der folgenden Abbildung dargestellt.

Dateisysteme

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erstellen eines verschlüsselten Dateisystems

Erstellen eines verschlüsselten Dateisystems mit der AWS CLI