Risoluzione dei problemi di crittografia

Il montaggio con la crittografia dei dati in transito ha esito negativo

Per impostazione predefinita, quando utilizzi l'helper di montaggio di Amazon EFS con Transport Layer Security (TLS), viene eseguita la verifica del nome dell'host. Alcuni sistemi non supportano questa funzionalità, ad esempio Red Hat Enterprise Linux o CentOS. In questi casi, il montaggio di un file system EFS con TLS ha esito negativo.

Operazione da eseguire

È consigliabile che esegua l'aggiornamento della versione del servizio stunnel sul tuo client per assicurarti che sia supportata verifica del nome dell'host. Per ulteriori informazioni, consulta Aggiornamento di stunnel.

Il montaggio con la crittografia dei dati in transito è interrotto

È possibile, anche se improbabile, che la connessione crittografata al proprio file system Amazon EFS possono rimanere bloccata o essere interrotta da eventi lato client.

Operazione da eseguire

Se la connessione al file system Amazon EFS con crittografia dei dati in transito viene interrotta, eseguire i seguenti passaggi:

1. Verificare che il servizio stunnel sia in esecuzione sul client.

2. Confermare che l'applicazione watchdog amazon-efs-mount-watchdog sia in esecuzione sul client. È possibile determinare se questa applicazione è in esecuzione con il comando seguente:

   ps aux | grep [a]mazon-efs-mount-watchdog

3. Controllare i log di assistenza. Per ulteriori informazioni, consulta Ottenimento dei log per il supporto.

4. Eventualmente, è possibile abilitare i logo di stunnel e controllare anche le informazioni in essi contenute. Per abilitare i log di stunnel, è possibile modificare la configurazione dei registri in /etc/amazon/efs/efs-utils.conf. Affinché le modifiche abbiano effetto, tuttavia, è necessario smontare e rimontare il file system con l'helper di montaggio.

   Importante

   L'abilitazione dei log di stunnel potrebbe portare a un consumo di spazio di memorizzazione sul file system non indifferente.

Se le interruzioni persistono, contatta l' AWS assistenza.

ncrypted-at-rest Il file system E non può essere creato

Hai provato a creare un nuovo encrypted-at-rest file system. Tuttavia, viene visualizzato un messaggio di errore che indica che non AWS KMS è disponibile.

Operazione da eseguire

Questo errore può verificarsi nel raro caso in cui AWS KMS diventi temporaneamente non disponibile nel tuo Regione AWS. In tal caso, attendi AWS KMS il ripristino della piena disponibilità, quindi riprova a creare il file system.

File system crittografato inutilizzabile

Un file system crittografato restituisce regolarmente errori del server NFS. Questi errori possono verificarsi quando EFS non è in grado di recuperare la chiave master da cui proviene AWS KMS per uno dei seguenti motivi:

• La chiave è stata disabilitata.

• La chiave è stata eliminata.

• Le autorizzazioni concesse a Amazon EFS per l'utilizzo della chiave sono state revocate.

• AWS KMS è temporaneamente non disponibile.

Operazione da eseguire

Innanzitutto, verifica che la AWS KMS chiave sia abilitata. È possibile farlo visualizzando le chiavi nella console. Per ulteriori informazioni, consulta Visualizzazione delle chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

Se la chiave non è abilitato, abilitarla. Per ulteriori informazioni consulta l'articolo relativo all'abilitazione e disabilitazione delle chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

Se la chiave è in attesa di eliminazione, allora questo stato disabilita la chiave. È possibile annullare l'eliminazione e abilitare di nuovo la chiave. Per ulteriori informazioni, consultare Pianificazione e annullamento della cancellazione delle chiavi nella Guida per gli sviluppato di AWS Key Management Service .

Se la chiave è abilitata e il problema persiste o se riscontri un problema durante la riattivazione della chiave, contatta il AWS servizio clienti.