Amazon Elastic File System - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon Elastic File System

Amazon Elastic File System (Amazon EFS) lo ayuda a crear y configurar sistemas de archivos compartidos en la Nube de AWS.

Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:

  • En AWS Config, implementa la regla efs-encrypted-check AWS gestionada. Esta regla comprueba si Amazon EFS está configurado para cifrar los datos del archivo mediante AWS KMS.

  • Aplique el cifrado de los sistemas de archivos Amazon EFS mediante la creación de una CloudWatch alarma de Amazon que supervise CloudTrail los registros en busca de CreateFileSystem eventos y active una alarma si se crea un sistema de archivos sin cifrar. Para obtener más información, consulte Tutorial: Aplicación del cifrado en un sistema de archivos de Amazon EFS en reposo.

  • Monte el sistema de archivos mediante el ayudante de montaje de EFS. Esto configura y mantiene un túnel TLS 1.2 entre el cliente y el servicio Amazon EFS, y enruta todo el tráfico del sistema de archivos de red (NFS) a través de este túnel cifrado. El siguiente comando implementa el uso de TLS para el cifrado en tránsito.

    sudo mount -t efs  -o tls file-system-id:/ /mnt/efs

    A fin de obtener más información, consulte Uso del ayudante de montaje de EFS para montar sistemas de archivos de EFS.

  • Uso AWS PrivateLink e implementación de puntos de enlace de VPC de interfaz para establecer una conexión privada entre las VPC y la API de Amazon EFS. Los datos en tránsito a través de la conexión de VPN hacia y desde el punto de conexión se encuentran cifrados. Para obtener más información, consulte Acceso a un Servicio de AWS a través de un punto de conexión de VPC de interfaz.

  • Utilice la clave de condición elasticfilesystem:Encrypted en las políticas de IAM basadas en identidades para evitar que los usuarios creen sistemas de archivos de EFS que no se encuentren cifrados. Para obtener más información, consulte Uso de IAM para imponer la creación de sistemas de archivos cifrados.

  • Las claves de KMS utilizadas para el cifrado de EFS se deben configurar para un acceso con privilegios mínimos mediante políticas de claves basadas en recursos.

  • Utilice la clave de condición aws:SecureTransport de la política del sistema de archivos de EFS a fin de imponer el uso de TLS para los clientes de NFS cuando se conectan a un sistema de archivos de EFS. Para obtener más información, consulte Cifrado de datos en tránsito en Cifrado de datos de archivos con Amazon Elastic File System (AWS documento técnico).