Création d'un système de fichiers chiffrés à l'aide de l'AWS Management Console - Chiffrement des données de fichier avec Amazon Elastic File System

Création d'un système de fichiers chiffrés à l'aide de l'AWS Management Console

Suivez la procédure ci-après pour créer un système de fichiers Amazon EFS chiffrés à l'aide de l'AWS Management Console.

Étape 1. Configurer les paramètres du système de fichiers

Dans cette étape, vous configurez les paramètres généraux du système de fichiers, y compris la gestion du cycle de vie, les modes Performances et Débit, et le chiffrement des données au repos.

  1. Connectez-vous à l'AWS Management Console et ouvrez la console Amazon EFS.

  2. Choisissez Créer un système de fichiers pour ouvrir la boîte de dialogue Créer un système de fichiers. Pour de plus amples informations sur la création d'un système de fichiers à l'aide des paramètres recommandés qui incluent l'activation du chiffrement par défaut, consultez Créer votre système de fichiers Amazon EFS.

    Dialog box for creating an EFS file system with name input and VPC selection options.

    Créer un système de fichiers EFS

  3. (Facultatif) Sélectionnez Personnaliser pour créer un système de fichiers personnalisé au lieu de créer un système de fichiers à l'aide des paramètres recommandés par le service.

    La page Paramètres du système de fichiers s'affiche.

    File system settings interface with options for name, backups, lifecycle, performance, throughput, and encryption.

    Créer un système de fichiers EFS : paramètres généraux

  4. Pour les paramètres généraux, saisissez ce qui suit.

    • (Facultatif) Saisissez un Nom pour le système de fichiers.

    • Les sauvegardes automatiques sont activées par défaut. Vous pouvez désactiver les sauvegardes automatiques en désactivant la case à cocher. Pour de plus amples informations, consultez Utilisation d'AWS Backup avec Amazon EFS.

    • Choisissez une politique de gestion du cycle de vie. La fonction de gestion du cycle de vie Amazon EFS gère automatiquement et de manière économique le stockage de fichiers de vos systèmes de fichiers. Lorsque cette fonction est activée, la gestion du cycle de vie migre les fichiers qui n'ont pas été consultés pendant une période de définie vers la classe de stockage Infrequent Access (IA). Vous définissez cette période à l'aide d'une politique de cycle de vie. Si vous ne souhaitez pas que la gestion du cycle de vie soit activée, choisissez Aucun. Pour de plus amples informations, consultez Gestion du cycle de vie EFS dans le Guide de l'utilisateur Amazon EFS.

    • Choisissez un mode de performance, soit le mode par défaut Polyvalent ou I/O max. Pour de plus amples informations, consultez Modes de performance dans le Guide de l'utilisateur Amazon EFS.

    • Choisissez un mode de débit, soit le mode par défaut Transmission en rafales soit Alloué.

    • Si vous avez sélectionné Alloué, le champ Débit alloué (Mio/s) s'affiche. Entrez le débit à allouer pour le système de fichiers. Une fois que vous avez saisi le débit, la console affiche une estimation du coût mensuel en regard du champ. Pour de plus amples informations, consultez Modes de débit dans le Guide de l'utilisateur Amazon EFS.

    • Dans le champ Chiffrement, le chiffrement des données au repos est activé par défaut. Il utilise votre clé de service EFS AWS Key Management Service (AWS KMS) (aws/elasticfilesystem) par défaut. Pour choisir une autre clé KMS à utiliser pour le chiffrement, développez Personnaliser les paramètres de chiffrement et choisissez une clé dans la liste. Vous pouvez également saisir un ID de clé KMS ou un Amazon Resource Name (ARN) pour la clé KMS que vous souhaitez utiliser.

      Si vous devez créer une nouvelle clé, choisissez Création d'une clé AWS KMS pour lancer la console AWS KMS et créer une nouvelle clé.

  5. (Facultatif) Choisissez Ajouter une identification pour ajouter des paires clé-valeur à votre système de fichiers.

  6. Choisissez Suivant pour passer à l'étape Accès réseau de la procédure de configuration.

Étape 2. Configurer l'accès réseau

Au cours de cette étape, vous configurez les paramètres réseau du système de fichiers, y compris le Virtual Private Cloud (VPC) et les cibles de montage. Pour chaque cible de montage, définissez la zone de disponibilité, le sous-réseau, l'adresse IP et les groupes de sécurité.

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

Créer un système de fichiers EFS : accès au réseau

  1. Choisissez le Virtual Private Cloud (VPC) dans lequel vous souhaitez que les instances EC2 se connectent à votre système de fichiers. Pour de plus amples informations, consultez Gestion de l'accessibilité réseau du système de fichiers du Guide de l'utilisateur Amazon EFS.

    • Zone de disponibilité : par défaut, une cible de montage est configurée dans chaque zone de disponibilité d'une région AWS. Si vous ne voulez pas de cible de montage dans une zone de disponibilité particulière, choisissez Supprimer pour supprimer la cible de montage de cette zone. Créez une cible de montage dans chaque zone de disponibilité à partir de laquelle vous prévoyez d'accéder à votre système de fichiers. Cette opération n'engendre aucun coût.

    • ID de sous-réseau : choisissez un des sous-réseaux disponibles dans une zone de disponibilité. Le sous-réseau par défaut est présélectionné. Une bonne pratique consiste à s'assurer que le sous-réseau choisi est public ou privé en fonction de vos exigences de sécurité.

    • Adresse IP : par défaut, Amazon EFS choisit automatiquement l'adresse IP parmi les adresses disponibles dans le sous-réseau. Vous pouvez également saisir une adresse IP spécifique qui se trouve dans le sous-réseau. Bien que les cibles de montage possèdent une seule adresse IP, ce sont des ressources réseau redondantes et hautement disponibles.

    • Groupes de sécurité :vous pouvez spécifier un ou plusieurs groupes de sécurité pour la cible de montage. Une bonne pratique consiste à s'assurer que le groupe de sécurité est uniquement utilisé à des fins de montage EFS (port NFS 2049) et que les règles de trafic entrant autorisent uniquement le port 2049 d'une autre plage de blocs d'adresse CIDR VPC ou utilisent le groupe de sécurité comme source pour les ressources qui ont besoin d'accéder à EFS. Pour de plus amples informations, consultez Utilisation de groupes de sécurité pour les instances Amazon EC2 Instances et les cibles de montage du Guide de l'utilisateur Amazon EFS.

      Pour ajouter un autre groupe de sécurité, ou pour modifier le groupe de sécurité, sélectionnez Choisir des groupes de sécurité et ajoutez un autre groupe de sécurité dans la liste. Si vous ne souhaitez pas utiliser le groupe de sécurité par défaut, vous pouvez le supprimer. Pour de plus amples informations, consultez Création de groupes de sécurité dans le Guide de l'utilisateur Amazon EFS.

  2. Choisissez Ajouter une cible de montage pour créer une cible de montage pour une zone de disponibilité qui n'en possède pas. Si une cible de montage est configurée pour chaque zone de disponibilité, ce choix n'est pas disponible.

  3. Choisissez Suivant pour continuer. La page Politique de système de fichiers s'affiche.

Étape 3. Créer une politique de système de fichiers

Dans cette étape, vous créez une politique de système de fichiers pour contrôler l'accès du client NFS au système de fichiers. Une politique de système de fichiers EFS est une politique de ressource IAM que vous utilisez pour contrôler l'accès du client NFS au système de fichiers. Pour de plus amples informations, consultez Utilisation d'IAM pour contrôler l'accès NFS à Amazon EFS dans le Guide de l'utilisateur Amazon EFS.

File system policy configuration interface with policy options and JSON editor.

Créer un système de fichiers EFS : politique de système de fichiers

  1. Dans Options de politique, nous vous recommandons de choisir les options de politique préconfigurées disponibles suivantes :

    • Empêcher l'accès racine par défaut

    • Appliquer l'accès en lecture seule par défaut

    • Appliquer le chiffrement en transit pour tous les clients

  2. Utilisez Accorder des autorisations supplémentaires pour accorder des autorisations de système de fichiers à d'autres principaux IAM, y compris un autre compte AWS. Choisissez Ajouter, puis saisissez l'ARN de principal de l'entité à laquelle vous accordez des autorisations, puis choisissez les autorisations à accorder.

  3. Utilisez l'éditeur de politique pour personnaliser une politique préconfigurée ou pour créer votre propre politique. Lorsque vous choisissez l'une des politiques préconfigurées, la définition de politique JSON apparaît dans l'éditeur de politique.

  4. Choisissez Suivant pour continuer. La page Vérifier et créer s'affiche.

Étape 4. Vérifier et créer

Dans cette étape, vous passez en revue les paramètres du système de fichiers, apportez des modifications, puis créez le système de fichiers.

Review and create page showing file system settings, network access, and policy details.

Créer un système de fichiers EFS : vérifier et créer

  1. Passez en revue chacun des groupes de configuration du système de fichiers. À ce stade, vous pouvez apporter des modifications à chaque groupe en choisissant Modifier.

  2. Choisissez Créer pour créer votre système de fichiers et revenir à la page Systèmes de fichiers.

  3. La page Systèmes de fichiers affiche le système de fichiers et les détails de sa configuration, comme indiqué dans l'image suivante.

    MyFS file system details showing general settings, performance mode, and metered size.

    Systèmes de fichiers