Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles del sistema de archivos Amazon Elastic
Estos controles están relacionados con los recursos de Amazon EFS.
Es posible que estos controles no estén disponibles en todosRegiones de AWS. Para obtener más información, consulte Disponibilidad de controles por región.
[EFS.1] El Elastic File System debe configurarse para cifrar los datos de archivos en reposo mediante AWS KMS
Requisitos relacionados: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Categoría: Proteger - Protección de datos - Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::EFS::FileSystem
Regla de AWS Config: efs-encrypted-check
Tipo de cronograma: Periódico
Parámetros: ninguno
Este control comprueba si Amazon Elastic File System está configurado para cifrar los datos del archivo medianteAWS KMS. La comprobación falla en los siguientes casos.
-
Encryptedse establece enfalseen la respuesta deDescribeFileSystems. -
La clave
KmsKeyIdde la respuesta deDescribeFileSystemsno coincide con el parámetroKmsKeyIddeefs-encrypted-check.
Tenga en cuenta que este control no utiliza el parámetro KmsKeyId para efs-encrypted-check. Solo comprueba el valor de Encrypted.
Para añadir un nivel de seguridad adicional a sus datos confidenciales en Amazon EFS, debe crear sistemas de archivos cifrados. Amazon EFS admite el cifrado de sistemas de archivos en reposo. Puede habilitar el cifrado de datos en reposo al crear un sistema de archivos de Amazon EFS. Para obtener más información sobre el cifrado de Amazon EFS, consulte el cifrado de datos en Amazon EFS en la Guía del usuario de Amazon Elastic File System.
Corrección
Para obtener más información sobre cómo cifrar un nuevo sistema de archivos de Amazon EFS, consulte Cifrar datos en reposo en la Guía del usuario de Amazon Elastic File System.
[EFS.2] Los volúmenes de Amazon EFS deben incluirse en los planes de backup
Requisitos relacionados: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 CS-13 (5)
Categoría: Recuperación > Resiliencia > Respaldo
Gravedad: media
Tipo de recurso: AWS::EFS::FileSystem
Regla de AWS Config: efs-in-backup-plan
Tipo de cronograma: Periódico
Parámetros: ninguno
Este control comprueba si los sistemas de archivos de Amazon Elastic File System (Amazon EFS) se agregan a los planes de respaldo deAWS Backup. El control falla si los sistemas de archivos de Amazon EFS no están incluidos en los planes de respaldo.
La inclusión de los sistemas de archivos EFS en los planes de respaldo le ayuda a proteger sus datos contra la eliminación y la pérdida de datos.
Corrección
Para habilitar las copias de seguridad automáticas para un sistema de archivos de Amazon EFS existente, consulte Introducción 4: Creación de copias de seguridad automáticas de Amazon EFS en la Guía para AWS Backup desarrolladores.
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
Requisitos relacionados: NIST.800-53.R5 AC-6 (10)
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::EFS::AccessPoint
Regla de AWS Config: efs-access-point-enforce-root-directory
Tipo de programa: cambio activado
Parámetros: ninguno
Este control comprueba si los puntos de acceso de Amazon EFS están configurados para aplicar un directorio raíz. El control falla si el valor de Path está establecido en / (el directorio raíz predeterminado del sistema de archivos).
Cuando se aplica un directorio raíz, el cliente NFS que utiliza el punto de acceso utiliza el directorio raíz configurado en el punto de acceso en lugar del directorio raíz del sistema de archivos. La aplicación de un directorio raíz para un punto de acceso ayuda a restringir el acceso a los datos, ya que garantiza que los usuarios del punto de acceso solo puedan acceder a los archivos del subdirectorio especificado.
Corrección
Para obtener instrucciones sobre cómo hacer cumplir un directorio raíz para un punto de acceso de Amazon EFS, consulte Hacer cumplir un directorio raíz con un punto de acceso en la Guía del usuario de Amazon Elastic File System.
[EFS.4] Los puntos de acceso EFS deben reforzar la identidad de un usuario
Requisitos relacionados: NIST.800-53.R5 AC-6 (2)
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::EFS::AccessPoint
Regla de AWS Config: efs-access-point-enforce-user-identity
Tipo de programa: cambio activado
Parámetros: ninguno
Este control comprueba si los puntos de acceso de Amazon EFS están configurados para imponer una identidad de usuario. Este control falla si no se define una identidad de usuario POSIX al crear el punto de acceso EFS.
Los puntos de acceso de Amazon EFS son puntos de entrada específicos que la aplicación utiliza para acceder a un sistema de archivos de EFS y que facilitan la administración del acceso de las aplicaciones a conjuntos de datos compartidos. Los puntos de acceso pueden imponer una identidad de usuario, incluidos los grupos POSIX del usuario, para todas las solicitudes del sistema de archivos que se realizan a través del punto de acceso. Los puntos de acceso también pueden imponer un directorio raíz diferente para el sistema de archivos, de modo que los clientes solo puedan acceder a los datos del directorio especificado o de sus subdirectorios.
Corrección
Para hacer cumplir una identidad de usuario para un punto de acceso de Amazon EFS, consulte Hacer cumplir una identidad de usuario mediante un punto de acceso en la Guía del usuario de Amazon Elastic File System.
