Creazione di un file system crittografato utilizzando la Console di gestione AWS - Crittografia dei dati dei file con Amazon Elastic File System
Fase 1. Configurazione delle impostazioni del file systemFase 2. Configurazione dell'accesso di reteFase 3. Creazione di una policy per il file systemFase 4. Revisione e creazione

Creazione di un file system crittografato utilizzando la Console di gestione AWS

Utilizzare la seguente procedura per creare un file system Amazon EFS crittografato utilizzando la Console di gestione AWS.

Fase 1. Configurazione delle impostazioni del file system

In questa fase si configurano le impostazioni generali del file system, incluse la gestione del ciclo di vita, le modalità Prestazioni e Throughput e la crittografia dei dati a riposo.

  1. Accedere alla Console di gestione AWS e aprire la console di Amazon EFS.

  2. Scegliere Create file system (Crea file system) per aprire la finestra di dialogo Create file system (Crea file system). Per ulteriori informazioni sulla creazione di un file system utilizzando le impostazioni consigliate che includono l'abilitazione della crittografia di default, consultare Create Your Amazon EFS File System (Creare il file system Amazon EFS).

    Dialog box for creating an EFS file system with name input and VPC selection options.

    Creazione del file system EFS

  3. (Facoltativo) Scegliere Customize (Personalizza) per creare un file system personalizzato anziché creare un file system utilizzando le impostazioni consigliate dal servizio.

    Viene visualizzata la pagina Impostazioni file system.

    File system settings interface with options for name, backups, lifecycle, performance, throughput, and encryption.

    Creazione del file system EFS: impostazioni generali

  4. Nelle impostazioni General (Generali), inserire i dettagli seguenti.

    • (Facoltativo) Inserire un Name (Nome) per il file system.

    • I Automatic backups (Backup automatici) sono attivati di default. È possibile disattivare i backup automatici deselezionando la casella di controllo. Per ulteriori informazioni, consultare Utilizzo di AWS Backup con Amazon EFS.

    • Scegliere una policy di Gestione del ciclo di vita. La gestione del ciclo di vita di Amazon EFS gestisce automaticamente l'archiviazione di file a costi contenuti per i file system. Quando abilitata, la gestione del ciclo di vita consente di migrare nella classe di archiviazione Infrequent Access (IA) i file che non sono stati utilizzati per un determinato periodo di tempo, definito utilizzando una policy del ciclo di vita. Se non si desidera abilitare la gestione del ciclo di vita, scegliere None (Nessuno). Per maggiori informazioni, consultare Gestione del ciclo di vita di EFS nella Guida per l'utente di Amazon EFS.

    • Scegliere un Performance mode (Modalità prestazioni), ovvero la modalità General Purpose mode (Scopo generico) di default o Max I/O (I/O massimo). Per maggiori informazioni, consultare modalità Prestazioni nella Guida per l'utente di Amazon EFS.

    • Scegliere un Throughput mode (modalità Throughput), ovvero la Bursting mode (Modalità ottimizzazione) di default o il Provisioned mode (Modalità Provisioned).

    • Se è stato selezionato Provisioned viene visualizzato il campo Provisioned Throughput (Throughput provisionato) (MiB/s). Immettere la quantità di velocità effettiva di cui eseguire il provisioning per il file system. Dopo aver immesso la velocità effettiva, la console visualizza una stima del costo mensile accanto al campo. Per ulteriori informazioni, consultare le modalità Throughput nella Guida degli utenti di Amazon EFS.

    • Relativamente al campo Encryption (Crittografia), la crittografia dei dati a riposo è abilitata di default. Utilizzare la chiave di servizio EFS (aws/elasticfilesystem) di AWS Key Management Service (AWS KMS) di default. Per scegliere una chiave KMS diversa da utilizzare per la crittografia, espandere le impostazioni di Personalizzazione della crittografia e scegliere una chiave dall'elenco. In alternativa, inserire un ID chiave di KMS o l'Amazon Resource Name (ARN) della chiave KMS che si desidera utilizzare.

      Se è necessario creare una nuova chiave, scegliere Create an AWS KMS key (Crea una chiave AWS KMS) per avviare la console di AWS KMS e creare una nuova chiave.

  5. (Facoltativo) Scegliere Add tag (Aggiungi tag) per aggiungere coppie chiave-valore al file system.

  6. Scegliere Next (Successivo) per proseguire alla fase Network Access (Accesso alla rete) nel processo di configurazione.

Fase 2. Configurazione dell'accesso di rete

In questa fase si configurano le impostazioni di rete del file system, inclusi il Virtual Private Cloud (VPC) e le destinazioni di montaggio. Per ogni destinazione di montaggio, impostare la zona di disponibilità, la sottorete, l'indirizzo IP e i gruppi di sicurezza.

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

Creazione di file system EFS: accesso alla rete

  1. Scegliere il Virtual Private Cloud (VPC) in cui si desidera che le istanze EC2 si connettano al file system. Per ulteriori informazioni, consultare Gestione dell'accessibilità alla rete del file system nella Guida per l'utente di Amazon EFS.

    • Zona di disponibilità: di default, in ogni zona di disponibilità in una regione AWS è configurata una destinazione di montaggio. Se non si desidera una destinazione di montaggio in una determinata zona di disponibilità, scegliere Remove (Rimuovi) per eliminare la destinazione di montaggio per tale zona. Creare una destinazione di montaggio in ogni zona di disponibilità da cui si prevede di accedere al file system. Tale operazione è gratuita.

    • ID sottorete: scegliere tra le sottoreti disponibili in una zona di disponibilità. La sottorete di default è preselezionata. Come best practice, assicurarsi che la sottorete scelta sia pubblica o privata in base ai requisiti di sicurezza.

    • Indirizzo IP: di default, Amazon EFS seleziona automaticamente l'indirizzo IP tra gli indirizzi disponibili nella sottorete. In alternativa, è possibile inserire un indirizzo IP specifico disponibile nella sottorete. Sebbene le destinazioni di montaggio abbiano un unico indirizzo IP, si tratta di risorse di rete ridondanti e altamente disponibili.

    • Gruppi di sicurezza: è possibile specificare uno o più gruppi di sicurezza per la destinazione di montaggio. Come best practice, assicurarsi che il gruppo di sicurezza venga utilizzato solo per scopi di montaggio EFS (porta NFS 2049) e che le regole in ingresso permettano solo la porta 2049 da un altro intervallo di blocchi CIDR VPC o utilizzare il gruppo di sicurezza come origine per le risorse che devono accedere a EFS. Per ulteriori informazioni, consultare la sezione Utilizzo dei gruppi di sicurezza per le istanze e le destinazioni di montaggio Amazon EC2 della Guida per l'utente di Amazon EFS.

      Per aggiungere un altro gruppo di sicurezza o per modificare il gruppo di sicurezza, selezionare Choose security groups (Scegliere gruppi di sicurezza) e aggiungere un altro gruppo di sicurezza dall'elenco. Se non si desidera utilizzare il gruppo di sicurezza di default, è possibile eliminarlo. Per ulteriori informazioni, consultare Creazione di gruppi di sicurezza nella Guida per l'utente di Amazon EFS.

  2. Scegliere Add mount target (Aggiungere destinazione di montaggio) per creare una destinazione di montaggio per una zona di disponibilità che non ne includa una. Se una destinazione di montaggio è configurata per ciascuna zona di disponibilità, questa scelta non è disponibile.

  3. Scegliere Next (Successivo) per continuare. Viene visualizzata la pagina File system policy (Policy del file system).

Fase 3. Creazione di una policy per il file system

In questa fase è possibile creare una policy del file system per controllare l'accesso dei client NFS al file system. Una policy del file system EFS è una policy IAM basata sulle risorse utilizzata per controllare l'accesso dei client NFS al file system. Per maggiori informazioni, consultare Utilizzo di IAM per controllare l’accesso NFS ad Amazon EFS nella Guida per l'utente di Amazon EFS.

File system policy configuration interface with policy options and JSON editor.

Creazione di file system EFS: policy del file system

  1. Nelle Policy options (Opzioni della policy), si consiglia di scegliere le seguenti opzioni per le policy preconfigurati disponibili:

    • Impedisci l'accesso root per impostazione predefinita

    • Applica l'accesso in sola lettura per impostazione predefinita

    • Applica la crittografia in transito per tutti i client

  2. Utilizzare Grant additional permissions (Concedi autorizzazioni aggiuntive) per concedere le autorizzazioni sul file system a entità IAM aggiuntive, incluso un altro account AWS. Scegliere Add (Aggiungi), quindi inserire l'ARN principale dell'entità a cui si stanno concedendo le autorizzazioni e poi scegliere le Permissions (Autorizzazioni) da concedere.

  3. Utilizzare il Policy editor (Editor delle policy) per personalizzare una policy preconfigurata o per creare policy personalizzate. Quando si sceglie una delle policy preconfigurate, la definizione delle policy JSON viene visualizzata nell'editor delle policy.

  4. Scegliere Next (Successivo) per continuare. Viene visualizzata la pagina Review and create (Rivedi e crea).

Fase 4. Revisione e creazione

In questa fase si esaminano le impostazioni del file system, si apportano eventuali modifiche e quindi si crea il file system.

Review and create page showing file system settings, network access, and policy details.

Creazione di file system EFS: revisione e creazione

  1. Esaminare ciascuno dei gruppi di configurazione del file system. È possibile apportare modifiche a ciascun gruppo in questo momento scegliendo Edit (Modifica).

  2. Scegliere Create (Crea) per creare il file system e tornare alla pagina File system.

  3. La pagina File system visualizza il file system e i relativi dettagli di configurazione, come illustrato di seguito.

    MyFS file system details showing general settings, performance mode, and metered size.

    File System