Mengkonfigurasi AWS DataSync transfer dengan Amazon EFS

Untuk mentransfer data ke atau dari sistem file Amazon EFS Anda, Anda harus membuat lokasi AWS DataSync transfer. DataSync dapat menggunakan lokasi ini sebagai sumber atau tujuan untuk mentransfer data.

Mengakses sistem file Amazon EFS

DataSync memasang sistem file Amazon EFS Anda sebagai pengguna root dari virtual private cloud (VPC) Anda menggunakan antarmuka jaringan.

Saat membuat lokasi, Anda menentukan subnet dan grup keamanan yang DataSync digunakan untuk menyambung ke salah satu target pemasangan atau titik akses sistem file Amazon EFS menggunakan port Network File System (NFS) 2049.

catatan

Jika DataSync mengakses sistem file tujuan melalui titik akses yang memberlakukan identitas pengguna, ID pengguna dan grup POSIX untuk data sumber Anda tidak dipertahankan jika Anda mengonfigurasi DataSync tugas Anda untuk menyalin kepemilikan. Sebagai gantinya, file dan folder yang ditransfer diatur ke ID pengguna dan grup jalur akses. Ketika ini terjadi, verifikasi tugas gagal karena DataSync mendeteksi ketidakcocokan antara metadata di lokasi sumber dan tujuan.

DataSync juga dapat memasang sistem file Amazon EFS yang dikonfigurasi untuk akses terbatas. Misalnya, Anda dapat menentukan peran AWS Identity and Access Management (IAM) yang memberikan DataSync tingkat izin yang diperlukan untuk terhubung ke sistem file Anda. Untuk informasi selengkapnya, lihat Menggunakan kebijakan IAM untuk mengakses sistem file Amazon EFS Anda.

Pertimbangan jaringan dengan transfer Amazon EFS

VPC yang Anda gunakan DataSync harus memiliki penyewaan default. VPC dengan penyewaan khusus tidak didukung. Untuk informasi selengkapnya, lihat Bekerja dengan VPC.

Pertimbangan kinerja dengan transfer Amazon EFS

Mode throughput sistem file Amazon EFS Anda dapat memengaruhi durasi transfer dan kinerja sistem file selama transfer. Pertimbangkan hal berikut:

• Untuk hasil terbaik, sebaiknya gunakan mode Elastic throughput (yang juga merupakan mode throughput default untuk sistem file Anda). Jika Anda tidak menggunakan mode throughput Elastis, transfer Anda mungkin memakan waktu lebih lama.

• Jika Anda menggunakan mode throughput Bursting, kinerja aplikasi sistem file Anda mungkin terpengaruh karena DataSync menggunakan kredit burst sistem file.

Untuk informasi selengkapnya, lihat Performa Amazon EFS di Panduan Pengguna Amazon Elastic File System.

Membuat lokasi transfer Amazon EFS Anda

Untuk membuat lokasi transfer, Anda memerlukan sistem file Amazon EFS yang ada. Jika Anda tidak memilikinya, lihat Memulai Amazon Elastic File System di Panduan Pengguna Amazon Elastic File System.

Untuk membuat lokasi Amazon EFS dengan menggunakan konsol

1. Buka AWS DataSync konsol di https://console.aws.amazon.com/datasync/.

2. Di panel navigasi kiri, perluas Transfer data, lalu pilih Lokasi dan Buat lokasi.

3. Untuk jenis Lokasi, pilih sistem file Amazon EFS.

   Anda mengonfigurasi lokasi ini sebagai sumber atau tujuan nanti.

4. Untuk sistem File, pilih sistem file Amazon EFS yang ingin Anda gunakan sebagai lokasi.

   Anda mengonfigurasi lokasi ini sebagai sumber atau tujuan nanti.

5. Untuk jalur Mount, masukkan jalur pemasangan untuk sistem file Amazon EFS Anda.

   Ini menentukan di mana DataSync membaca atau menulis data (tergantung pada apakah ini adalah lokasi sumber atau tujuan).

   Secara default, DataSync gunakan direktori root (atau titik akses jika Anda mengonfigurasinya). Anda juga dapat menentukan subdirektori menggunakan garis miring maju (misalnya,). /path/to/directory

6. Untuk Subnet pilih subnet tempat DataSync membuat antarmuka jaringan untuk mengelola lalu lintas selama transfer Anda.

   Subnet harus ditemukan:

   • Di VPC yang sama dengan sistem file Amazon EFS.

   • Di Availability Zone yang sama dengan setidaknya satu target pemasangan sistem file.

   catatan

   Anda tidak perlu menentukan subnet yang menyertakan target pemasangan sistem file.

7. Untuk grup Keamanan, pilih grup keamanan yang terkait dengan target pemasangan sistem file Amazon EFS.

   catatan

   Grup keamanan yang Anda tentukan harus mengizinkan lalu lintas masuk pada port NFS 2049. Untuk informasi selengkapnya, lihat Menggunakan grup keamanan VPC untuk instans Amazon EC2 dan memasang target di Panduan Pengguna Amazon Elastic File System.

8. Untuk enkripsi In-transit, pilih apakah Anda DataSync ingin menggunakan enkripsi Transport Layer Security (TLS) saat menyalin data ke atau dari sistem file Anda.

   catatan

   Anda harus mengaktifkan pengaturan ini jika Anda ingin mengonfigurasi titik akses, peran IAM, atau keduanya dengan lokasi Anda.

9. (Opsional) Untuk titik akses EFS, pilih titik akses yang DataSync dapat digunakan untuk memasang sistem file Amazon EFS Anda.

10. (Opsional) Untuk peran IAM, tentukan peran yang memungkinkan DataSync untuk mengakses sistem file Anda.

    Untuk informasi tentang membuat peran ini, lihat Menggunakan kebijakan IAM untuk mengakses sistem file Amazon EFS Anda

11. (Opsional) Pilih Tambahkan tag untuk menandai sistem file Anda.

    Tanda adalah pasangan nilai kunci yang membantu mengelola, memfilter, dan mencari lokasi Anda.

12. Pilih Buat lokasi.

Menggunakan kebijakan IAM untuk mengakses sistem file Amazon EFS Anda

Anda dapat mengonfigurasi sistem file Amazon EFS Anda dengan tingkat keamanan yang lebih tinggi dengan menggunakan kebijakan IAM. Dalam kebijakan sistem file Anda, Anda dapat menentukan peran IAM yang masih memungkinkan DataSync untuk terhubung dengan sistem file.

catatan

Untuk menggunakan peran IAM, Anda harus mengaktifkan TLS untuk enkripsi dalam transit saat membuat DataSync lokasi untuk sistem file Anda.

Untuk informasi selengkapnya, lihat Menggunakan IAM untuk mengontrol akses data sistem file di Panduan Pengguna Amazon Elastic File System.

Membuat peran IAM untuk DataSync

Buat peran dengan DataSync sebagai entitas tepercaya.

Untuk membuat IAM role

1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi kiri, di bawah Manajemen akses, pilih Peran, lalu pilih Buat peran.

3. Pada halaman Pilih entitas tepercaya, untuk jenis entitas tepercaya, pilih Kebijakan kepercayaan khusus.

4. Tempelkan JSON berikut ke editor kebijakan:

   {
       "Version": "2012-10-17",
       "Statement": [{
           "Effect": "Allow",
           "Principal": {
               "Service": "datasync.amazonaws.com"
           },
           "Action": "sts:AssumeRole"
       }]
   }

5. Pilih Berikutnya. Pada halaman Tambahkan izin, pilih Berikutnya.

6. Beri nama peran Anda dan pilih Buat peran.

Tentukan peran ini saat membuat lokasi untuk sistem file Amazon EFS Anda.

Contoh kebijakan sistem file Amazon EFS

Contoh kebijakan IAM berikut mencakup elemen yang membantu membatasi akses ke sistem file Amazon EFS (diidentifikasi dalam kebijakan sebagaifs-1234567890abcdef0):

• Principal: Menentukan peran IAM yang memberikan DataSync izin untuk terhubung ke sistem file.

• Action: Memberikan akses DataSync root dan memungkinkannya membaca dari dan menulis ke sistem file.

• aws:SecureTransport: Membutuhkan klien NFS untuk menggunakan TLS saat menghubungkan ke sistem file.

• elasticfilesystem:AccessPointArn: Memungkinkan akses ke sistem file hanya melalui titik akses tertentu.

{
    "Version": "2012-10-17",
    "Id": "ExampleEFSFileSystemPolicy",
    "Statement": [{
        "Sid": "AccessEFSFileSystem",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole"
        },
        "Action": [
            "elasticfilesystem:ClientMount",
            "elasticfilesystem:ClientWrite",
            "elasticfilesystem:ClientRootAccess"
        ],
        "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0",
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "true"
            },
            "StringEquals": {
                "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890"
            }
        }
    }]
}