Membuat Sistem File Terenkripsi Menggunakan Konsol Manajemen AWS - Mengenkripsi Data File dengan Amazon Elastic File System
Langkah 1. Konfigurasikan Pengaturan Sistem FileLangkah 2. Konfigurasikan Akses JaringanLangkah 3. Buat Kebijakan Sistem FileLangkah 4. Tinjau dan Buat

Membuat Sistem File Terenkripsi Menggunakan Konsol Manajemen AWS

Gunakan prosedur berikut untuk membuat sistem file Amazon EFS terenkripsi menggunakan Konsol Manajemen AWS.

Langkah 1. Konfigurasikan Pengaturan Sistem File

Pada langkah ini, Anda mengonfigurasi pengaturan sistem file umum, termasuk manajemen Siklus Hidup, mode Performa dan Throughput, serta enkripsi data at rest.

  1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon EFS.

  2. Pilih Create file system (Buat sistem file) untuk membuka kotak dialog Create file system (Buat sistem file). Untuk informasi selengkapnya tentang membuat sistem file menggunakan pengaturan yang disarankan yang mencakup mengaktifkan enkripsi secara default, lihat Membuat Sistem File Amazon EFS Anda.

    Dialog box for creating an EFS file system with name input and VPC selection options.

    Buat Sistem File EFS

  3. (Opsional) Pilih Customize (Sesuaikan) untuk membuat sistem file yang disesuaikan alih-alih membuat sistem file menggunakan pengaturan yang direkomendasikan layanan.

    Halaman Pengaturan sistem file muncul.

    File system settings interface with options for name, backups, lifecycle, performance, throughput, and encryption.

    Buat sistem file EFS: pengaturan umum

  4. Untuk pengaturan General (Umum), masukkan detail berikut.

    • (Opsional) Masukkan Name (Nama) untuk sistem file.

    • Automatic backups (Pencadangan otomatis) diaktifkan secara default. Anda dapat menonaktifkan pencadangan otomatis dengan mengosongkan kotak centang. Untuk informasi selengkapnya, lihat Menggunakan AWS Backup dengan Amazon EFS.

    • Pilih kebijakan Lifecycle management (Manajemen siklus hidup). Manajemen siklus hidup Amazon EFS secara otomatis mengelola penyimpanan file hemat biaya untuk sistem file Anda. Ketika diaktifkan, manajemen siklus hidup memigrasikan file yang belum diakses selama periode yang ditetapkan ke kelas penyimpanan Infrequent Access (IA). Anda menentukan periode tersebut dengan menggunakan kebijakan siklus hidup. Jika Anda tidak ingin manajemen siklus hidup diaktifkan, pilih None (Tidak ada). Untuk informasi selengkapnya, lihat Manajemen siklus hidup EFS dalam Panduan Pengguna Amazon EFS.

    • Pilih sebuah Performance mode (Mode Performa), yaitu General Purpose mode (Mode Tujuan Umum) default atau Max I/O (I/O maks.). Untuk informasi selengkapnya, lihat Mode Performa dalam Panduan Pengguna Amazon EFS.

    • Pilih sebuah Throughput mode (Mode throughput), yaitu Bursting mode (Mode puncak) default atau Provisioned mode (Mode disediakan).

    • Jika Anda memilih Provisioned (Disediakan), bidang Throughput Provisioned (MiB/s) (Throughput Disediakan (MiB/dtk)) akan ditampilkan. Masukkan jumlah throughput yang disediakan untuk sistem file. Setelah Anda memasukkan throughput, konsol menampilkan perkiraan biaya bulanan di samping bidang tersebut. Untuk informasi selengkapnya, lihat Mode Throughput dalam Panduan Pengguna Amazon EFS.

    • Untuk Encryption (Enkripsi), enkripsi data at rest diaktifkan secara default. Enkripsi ini menggunakan kunci layanan EFS AWS Key Management Service (AWS KMS) (aws/elasticfilesystem) secara default. Untuk memilih kunci KMS yang berbeda untuk digunakan dalam enkripsi, perluas bagian “Customize encryption settings” (Sesuaikan pengaturan enkripsi) dan pilih kunci dari daftar. Atau, masukkan ID kunci KMS atau Amazon Resource Name (ARN) untuk kunci KMS yang ingin Anda gunakan.

      Jika Anda perlu membuat kunci baru, pilih Create an AWS KMS key (Buat kunci AWS KMS) untuk meluncurkan konsol AWS KMS dan membuat kunci baru.

  5. (Opsional) Pilih Add tag (Tambahkan tag) untuk menambahkan pasangan kunci-nilai ke sistem file Anda.

  6. Pilih Next (Berikutnya) untuk melanjutkan ke langkah Network Access (Akses Jaringan) dalam proses konfigurasi.

Langkah 2. Konfigurasikan Akses Jaringan

Pada langkah ini, Anda mengonfigurasi pengaturan jaringan sistem file-nya, termasuk Virtual Private Cloud (VPC) dan target pemasangan. Untuk setiap target pemasangan, atur Zona Ketersediaan, subnet, alamat IP, dan grup keamanan.

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

Buat sistem file EFS: Akses jaringan

  1. Pilih Virtual Private Cloud (VPC) tempat Anda ingin instans EC2 terhubung ke sistem file Anda. Untuk informasi selengkapnya, lihat Mengelola aksesibilitas jaringan sistem file dalam Panduan Pengguna Amazon EFS.

    • Zona ketersediaan – Secara default, target pemasangan dikonfigurasi di setiap Zona Ketersediaan di Wilayah AWS. Jika Anda tidak menginginkan target pemasangan di Zona Ketersediaan tertentu, pilih Remove (Hapus) untuk menghapus target pemasangan untuk zona tersebut. Buat target pemasangan di setiap Zona Ketersediaan yang Anda rencanakan untuk mengakses sistem file Anda. Tidak ada biaya untuk melakukannya.

    • Subnet ID (ID Subnet) – Pilih dari subnet yang tersedia di Zona Ketersediaan. Subnet default telah dipilih sebelumnya. Sebagai praktik terbaik, pastikan subnet yang dipilih bersifat publik atau privat berdasarkan persyaratan keamanan Anda.

    • IP Address (Alamat IP) – Secara default, Amazon EFS memilih alamat IP secara otomatis dari alamat yang tersedia di subnet. Atau, Anda dapat memasukkan alamat IP tertentu yang ada di subnet. Meskipun target pemasangan memiliki alamat IP tunggal, target pemasangan ini adalah sumber daya jaringan yang redundan dan berketersediaan tinggi.

    • Security groups (Grup keamanan) – Anda dapat menentukan satu atau beberapa grup keamanan untuk target pemasangan. Sebagai praktik terbaik, pastikan grup keamanan hanya digunakan untuk tujuan pemasangan EFS (NFS Port 2049) dan aturan masuk hanya mengizinkan port 2049 dari rentang blok CIDR VPC lainnya atau menggunakan Grup Keamanan sebagai sumber untuk sumber daya yang perlu mengakses EFS. Untuk informasi selengkapnya, lihat Menggunakan Grup Keamanan untuk Instans dan Target Pemasangan Amazon EC2 dalam Panduan Pengguna Amazon EFS.

      Untuk menambahkan grup keamanan lain, atau untuk mengubah grup keamanan, pilih Choose security groups (Pilih grup keamanan) dan tambahkan grup keamanan lain dari daftar. Jika Anda tidak ingin menggunakan grup keamanan default, Anda dapat menghapusnya. Untuk informasi selengkapnya, lihat Membuat grup keamanan dalam Panduan Pengguna Amazon EFS.

  2. Pilih Add mount target (Tambahkan target pemasangan) untuk membuat target pemasangan untuk Zona Ketersediaan yang tidak memilikinya. Jika target pemasangan dikonfigurasi untuk setiap Zona Ketersediaan, pilihan ini tidak tersedia.

  3. Pilih Next (Berikutnya) untuk melanjutkan. Halaman File system policy (Kebijakan sistem file) ditampilkan.

Langkah 3. Buat Kebijakan Sistem File

Pada langkah ini, Anda membuat kebijakan sistem file untuk mengontrol akses klien NFS ke sistem file. Kebijakan sistem file EFS adalah kebijakan sumber daya IAM yang Anda gunakan untuk mengontrol akses klien NFS ke sistem file. Untuk informasi selengkapnya, lihat Menggunakan IAM untuk Mengontrol Akses NFS ke Amazon EFS dalam Panduan Pengguna Amazon EFS.

File system policy configuration interface with policy options and JSON editor.

Buat sistem file EFS: Kebijakan sistem file

  1. Dalam Policy options (Opsi kebijakan), kami menyarankan Anda memilih opsi kebijakan yang telah dikonfigurasikan sebelumnya sebagai berikut:

    • Cegah akses root secara default

    • Berlakukan akses hanya-baca secara default

    • Berlakukan enkripsi saat in transit untuk semua klien

  2. Gunakan Grant additional permissions (Berikan izin tambahan) untuk memberikan izin sistem file kepada principal IAM tambahan, termasuk akun AWS lainnya. Pilih Add (Tambahkan), lalu masukkan ARN Principal dari entitas yang Anda beri izin, lalu pilih Permissions (Izin) yang akan diberikan.

  3. Gunakan Kebijakan editor untuk menyesuaikan kebijakan yang telah dikonfigurasi sebelumnya atau untuk membuat kebijakan Anda sendiri berdasarkan kebutuhan Anda. Jika Anda memilih salah satu kebijakan yang telah dikonfigurasi sebelumnya, definisi kebijakan JSON akan muncul di editor kebijakan.

  4. Pilih Next (Berikutnya) untuk melanjutkan. Halaman Review and create (Tinjau dan buat) akan muncul.

Langkah 4. Tinjau dan Buat

Pada langkah ini, Anda meninjau pengaturan sistem file, membuat modifikasi, kemudian membuat sistem file.

Review and create page showing file system settings, network access, and policy details.

Buat sistem file EFS: Tinjau dan buat

  1. Tinjau setiap grup konfigurasi sistem file. Anda dapat membuat perubahan pada setiap grup saat ini dengan memilih “Edit”.

  2. Pilih “Create” (Buat) untuk membuat sistem file Anda dan kembali ke halaman Sistem file.

  3. Halaman Sistem file menampilkan sistem file dan detail konfigurasinya, seperti yang ditunjukkan pada gambar berikut.

    MyFS file system details showing general settings, performance mode, and metered size.

    Sistem File