Creación de un sistema de archivos cifrados mediante la consola de administración de AWS - Cifrado de datos de archivos con Amazon Elastic File System
Paso 1. Definir la configuración del sistema de archivosPaso 2. Paso 2: configurar el acceso a la redPaso 3. Crear una política del sistema de archivosPaso 4. Revisar y crear

Creación de un sistema de archivos cifrados mediante la consola de administración de AWS

Utilice el siguiente procedimiento para crear un sistema de archivos cifrados de Amazon EFS mediante la consola de administración de AWS.

Paso 1. Definir la configuración del sistema de archivos

En este paso, se define la configuración general del sistema de archivos, incluida la administración del ciclo de vida, los modos de rendimiento y desempeño y el cifrado de datos en reposo.

  1. Inicie sesión en la consola de administración de AWS y abra la consola de Amazon EFS.

  2. Seleccione Create file system (Crear sistema de archivos) para abrir el cuadro de diálogo Create file system (Crear sistema de archivos). Para obtener más información sobre la creación de un sistema de archivos mediante el uso de la configuración recomendada que incluye habilitar el cifrado de forma predeterminada, consulte Cree su sistema de archivos de Amazon EFS.

    Dialog box for creating an EFS file system with name input and VPC selection options.

    Crear sistema de archivos de EFS

  3. (Opcional) Seleccione Customize (Personalizar) para crear un sistema de archivos personalizado en lugar de crear un sistema de archivos con la configuración recomendada del servicio.

    Aparece la página File system settings (Configuración del sistema de archivos).

    File system settings interface with options for name, backups, lifecycle, performance, throughput, and encryption.

    Crear sistema de archivos de EFS: configuración general

  4. En la configuración General, escriba los siguientes detalles.

    • (Opcional) Ingrese un nombre para el sistema de archivos.

    • Las copias de seguridad automáticas están activadas de forma predeterminada. Puede desactivar las copias de seguridad automáticas desmarcando la casilla de verificación. Para obtener más información, consulte Uso de AWS Backup con Amazon EFS.

    • Elija una política de administración del ciclo de vida. La administración del ciclo de vida de Amazon EFS administra automáticamente el almacenamiento económico de los archivos para sus sistemas de archivos. Cuando está habilitada, la administración del ciclo de vida migra los archivos a los que no se ha obtenido acceso durante un periodo determinado a la clase de almacenamiento Acceso poco frecuente (IA). Para definir dicho periodo, utilice una política de ciclo de vida. Si no desea activar la administración del ciclo de vida, seleccione None (Ninguna). Para obtener más información, consulte Administración del ciclo de vida de EFS en la Guía del usuario de Amazon EFS.

    • Elija un modo de rendimiento, ya sea el modo predeterminado General Purpose (Uso general) o Max I/O (E/S máx.). Para obtener más información, consulte Modos de rendimiento en la Guía del usuario de Amazon EFS.

    • Elija un modo de desempeño, ya sea el modo predeterminado Bursting (Por ráfagas) o el modo Provisioned (Aprovisionado).

    • Si se ha seleccionado Provisioned (Aprovisionado), se muestra el campo Provisioned Throughput (MiB/s) ( Rendimiento aprovisionado (MIB/s)). Introduzca la cantidad de desempeño que se va a aprovisionar para el sistema de archivos. Después de introducir el desempeño, la consola muestra una estimación del coste mensual junto al campo. Para obtener más información, consulte Modos de rendimiento en la Guía del usuario de Amazon EFS.

    • En Encryption (Cifrado), el cifrado de datos en reposo está habilitado de forma predeterminada. Utiliza la clave del servicio de EFS de AWS Key Management Service (AWS KMS) (aws/elasticfilesystem) de forma predeterminada. Para utilizar una clave de KMS diferente en el cifrado, amplíe Customize encryption settings (Personalizar configuración de cifrado) y elija una clave de la lista. O bien introduzca un ID de clave de KMS o el nombre de recurso de Amazon (ARN) de la clave de KMS que desee utilizar.

      Si tiene que crear una clave nueva, seleccione Create an AWS KMS key (Crear una clave de AWS KMS) para lanzar la consola de AWS KMS y crear una clave nueva.

  5. (Opcional) Seleccione Add tag ( Añadir etiqueta) para añadir pares clave-valor al sistema de archivos.

  6. Seleccione Next (Siguiente) para continuar con el paso Network Access (Acceso a la red) del proceso de configuración.

Paso 2. Paso 2: configurar el acceso a la red

En este paso, se configuran los ajustes de red del sistema de archivos, incluida la nube privada virtual (VPC) y los destinos de montaje. En cada uno de los destinos de montaje, establezca la zona de disponibilidad, la subred, la dirección IP y los grupos de seguridad.

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

Crear sistema de archivos de EFS: acceso a la red

  1. Elija la Virtual Private Cloud (VPC) en la que desea que las instancias de EC2 se conecten al sistema de archivos. Para obtener más información, consulte Administración de la accesibilidad de la red del sistema de archivos en la Guía del usuario de Amazon EFS.

    • Availability zone (Zona de disponibilidad): de forma predeterminada, se configura un destino de montaje en cada una de las zonas de disponibilidad de una región de AWS. Si no desea un destino de montaje en una zona de disponibilidad determinada, seleccione Remove (Quitar) para eliminar el destino de montaje de dicha zona. Crear un destino de montaje en todas las zonas de disponibilidad a las que prevea acceder desde su sistema de archivos no supone ningún coste.

    • Subnet ID (ID de subred): seleccione una de las subredes disponibles en una zona de disponibilidad. La subred predeterminada está preseleccionada. Como práctica recomendada, asegúrese de que la subred elegida sea pública o privada en función de sus requisitos de seguridad.

    • IP Address (Dirección IP): de forma predeterminada, Amazon EFS selecciona la dirección IP automáticamente de las direcciones disponibles en la subred. O bien puede introducir una dirección IP concreta que esté en la subred. Aunque los destinos de montaje tienen una única dirección IP, son recursos de red redundantes de alta disponibilidad.

    • Security groups (Grupos de seguridad): puede especificar uno o varios grupos de seguridad en el destino de montaje. Como práctica recomendada, asegúrese de que el grupo de seguridad solo se use para fines de montaje de EFS (puerto NFS 2049) y que las reglas de entrada solo permitan el puerto 2049 de otro rango de bloques de CIDR de VPC o use Grupo de seguridad como origen de los recursos que necesitan acceder a EFS. Para obtener más información, consulte Uso de grupos de seguridad para instancias Amazon EC2 y destinos de montaje en la Guía del usuario de Amazon EFS.

      Para añadir otro grupo de seguridad o cambiarlo, seleccione Choose security groups (Elegir grupos de seguridad) y añada otro grupo de seguridad de la lista. Si no desea utilizar el grupo de seguridad predeterminado, puede eliminarlo. Para obtener más información, consulte Creación de grupos de seguridad en la Guía del usuario de Amazon EFS.

  2. Elija Add mount target (Añadir destino de montaje) para crear un destino de montaje en una zona de disponibilidad que no tenga uno. Si se configura un destino de montaje en cada una de las zonas de disponibilidad, esta opción no está disponible.

  3. Elija Next (Siguiente) para continuar. Aparece la página File system policy (Política de sistema de archivos).

Paso 3. Crear una política del sistema de archivos

En teste paso, cree una política de sistema de archivos para controlar el acceso del cliente NFS al sistema de archivos. Una política de sistema de archivos de EFS es una política de recursos de IAM que se utiliza para controlar el acceso del cliente NFS al sistema de archivos. Para obtener más información, consulte Uso de IAM para controlar el acceso de NFS a Amazon EFS en la Guía del usuario de Amazon EFS.

File system policy configuration interface with policy options and JSON editor.

Crear sistema de archivos de EFS: política del sistema de archivos

  1. En Policy options (Opciones de política), le recomendamos que elija las siguientes opciones de políticas preconfiguradas disponibles:

    • Impedir el acceso raíz de forma predeterminada

    • Imponer el acceso de solo lectura de forma predeterminada

    • Imponer el cifrado en tránsito para todos los clientes

  2. Use Grant additional permissions (Otorgar permisos adicionales) para conceder permisos del sistema de archivos a entidades principales de IAM adicionales, incluida otra cuenta de AWS. Elija Add (Agregar), luego ingrese el ARN principal de la entidad a la que le está otorgando permisos y, a continuación, elija los permisos que se vayan a otorgar.

  3. Utilice el editor de políticas para personalizar una política preconfigurada o crear su propia política basándose en los requisitos. Al elegir una de las políticas preconfiguradas, la definición de política JSON aparece en el editor de políticas.

  4. Elija Next (Siguiente) para continuar. Aparece la página Review and create (Revisar y crear).

Paso 4. Revisar y crear

En este paso, revise la configuración del sistema de archivos, realice las modificaciones que desee y, a continuación, cree el sistema de archivos.

Review and create page showing file system settings, network access, and policy details.

Crear sistema de archivos de EFS: revisar y crear

  1. Revise cada uno de los grupos de configuración del sistema de archivos. Puede realizar cambios en los grupos en este momento seleccionando Edit (Editar).

  2. Seleccione Create (Crear) para crear el sistema de archivos y volver a la página File systems (Sistemas de archivos).

  3. La página File systems (Sistemas de archivos) muestra el sistema de archivos y los detalles de su configuración, como se muestra en la siguiente imagen.

    MyFS file system details showing general settings, performance mode, and metered size.

    Sistemas de archivos