Chiffrer des données sur Amazon EFS - Amazon Elastic File System
Comment fonctionne le chiffrement des données en transit ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrer des données sur Amazon EFS

Amazon EFS prend en charge deux formes de chiffrement pour les systèmes de fichiers : le chiffrement des données en transit et le chiffrement au repos. Vous pouvez activer le chiffrement des données au repos lors de la création d'un système de EFS fichiers Amazon. Vous pouvez activer le chiffrement des données en transit lors du montage du système de fichiers.

Si vous avez besoin de FIPS 140 à 2 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-2.

Si votre organisation est soumise à des politiques d’entreprise ou des réglementations nécessitant le chiffrement des données et des métadonnées au repos, nous vous recommandons de créer un système de fichiers qui est chiffré au repos, et en montant votre système de fichiers à l’aide du chiffrement des données en transit.

Comment fonctionne le chiffrement des données en transit ?

Pour activer le chiffrement des données en transit, vous devez vous connecter à Amazon à EFS l'aide deTLS. Nous vous recommandons d'utiliser l'EFSassistant de montage pour monter votre système de fichiers, car il simplifie le processus de montage par rapport au montage avec NFSmount. L'assistant de EFS montage gère le processus à l'aide de stunnel forTLS. Vous pouvez tout de même activer le chiffrement des données en transit sans utiliser l’assistant de montage. Les étapes générales à suivre sont les suivantes :

Pour activer le chiffrement des données en transit sans utiliser l'assistant de EFS montage

  1. Téléchargez et installez stunnel, et notez le port sur lequel l’application est à l’écoute. Pour plus d’instructions, consultez Mise à niveau d’stunnel.

  2. Exécutez stunnel pour vous connecter à votre système de EFS fichiers Amazon sur le port 2049 en utilisantTLS.

  3. À l'aide du NFS client, montezlocalhost:port, où se port trouve le port que vous avez noté à la première étape.

Étant donné que le chiffrement des données en transit est configuré en mode par connexion, chaque montage configuré possède un processus stunnel dédié s’exécutant sur l’instance. Par défaut, le stunnel processus utilisé par l'assistant de EFS montage écoute sur un port local compris entre 20049 et 21049, et il se connecte à Amazon EFS sur le port 2049.

Note

Par défaut, lorsque vous utilisez l'assistant de EFS montage Amazon avecTLS, l'assistant de montage applique la vérification du nom d'hôte du certificat. L'assistant de EFS montage Amazon utilise le stunnel programme pour ses TLS fonctionnalités. Certaines versions de Linux n'incluent pas de version de Stunnel prenant en charge ces TLS fonctionnalités par défaut. Lorsque vous utilisez l'une de ces versions de Linux, le montage d'un système de EFS fichiers Amazon à l'aide d'un TLS échec.

Après avoir installé le amazon-efs-utils package, pour mettre à niveau la version de Stunnel de votre système, consultezMise à niveau d’stunnel.

Pour tout problème lié au chiffrement, consultez Résolution des problèmes de chiffrement.

Lorsque vous utilisez le chiffrement des données en transit, la configuration de votre NFS client est modifiée. Lorsque vous examinez vos systèmes de fichiers montés, vous en voyez un monté sur 127.0.0.1, ou localhost, comme dans l’exemple suivant :

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Lors du montage à TLS l'aide de l'assistant de EFS montage Amazon, vous reconfigurez votre NFS client pour le monter sur un port local. L'assistant de EFS montage démarre un stunnel processus client qui écoute sur ce port local et stunnel ouvre une connexion cryptée avec le système de EFS fichiers à l'aide TLS de. L'assistant de EFS montage est chargé de configurer et de maintenir cette connexion cryptée et la configuration associée.

Pour déterminer quel ID de système de EFS fichiers Amazon correspond à quel point de montage local, vous pouvez utiliser la commande suivante. Remplacez efs-mount-point par le chemin local sur lequel vous avez monté votre système de fichiers.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Lorsque vous utilisez l’assistant de montage pour le chiffrement des données en transit, il crée également un processus appelé amazon-efs-mount-watchdog. Ce processus garantit que le processus Stunnel de chaque montage est en cours d'exécution et arrête le Stunnel lorsque le système de EFS fichiers Amazon est démonté. Si, pour une raison quelconque, un processus stunnel est interrompu de manière inattendue, le processus de surveillance le redémarre.