暗号化のトラブルシューティング - Amazon Elastic File System

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

暗号化のトラブルシューティング

転送中にデータの暗号化を行うマウントが失敗する

デフォルトでは、Amazon EFS マウントヘルパーを Transport Layer Security (TLS) で使用するときに、ホスト名のチェックが強制されます。一部のシステム (Red Hat Enterprise Linux や CentOS など) では、この機能はサポートされません。 このような場合、TLS を使用した EFS ファイルシステムのマウントは失敗します。

実行するアクション

クライアントで stunnel のバージョンをアップグレードして、ホスト名のチェックに対応することをお勧めします。詳細については、「stunnel のアップグレード」を参照してください。

転送中にデータの暗号化を行うマウントが中断する

ごくまれに、Amazon EFS ファイルシステムへの暗号化された接続がハングしたり、クライアント側のイベントによって中断されることがあります。

実行するアクション

転送時のデータ暗号化を使用した Amazon EFS ファイルシステムへの接続が中断される場合、次の手順を実行します。

  1. クライアントで stunnel サービスが実行されていることを確認します。

  2. ウォッチドッグアプリケーション amazon-efs-mount-watchdog が、クライアントで実行されていることを確認します。このアプリケーションが実行されているかどうかを確認するには、次のコマンドを使用します。

    ps aux | grep [a]mazon-efs-mount-watchdog
  3. サポートログを確認します。詳細については、「サポートログの取得」を参照してください。

  4. 必要に応じて、stunnel ログを有効にしてそれらの情報を確認することもできます。/etc/amazon/efs/efs-utils.conf でログの設定を変更して、stunnel ログを有効にできます。ただし、変更を有効にするためには、マウントヘルパーでファイルシステムをアンマウントしてから再マウントする必要があります。

    重要

    stunnel ログを有効にすると、ファイルシステムのいくらかの容量が使用されます。

中断が続く場合は、AWS サポートにお問い合わせください。

保管時に暗号化されたファイルシステムを作成できない

保管時に暗号化されるファイルシステムを新しく作成しようとしましたが、「AWS KMS が利用できません」というエラーメッセージが表示されます。

実行するアクション

ユーザーの AWS リージョンで一時的に AWS KMS が利用できなくなった場合に、このエラーがまれに発生する可能性があります。これが発生した場合は、AWS KMS が完全に利用できるようになるまで待ってから、ファイルシステムの作成を再試行します。

使用できない暗号化されたファイルシステム

暗号化されたファイルシステムが一貫して NFS サーバーエラーを返します。これらのエラーは、次のいずれかの理由で EFS が AWS KMS からマスターキーを取得できないときに発生します。

  • キーが無効になっています。

  • キーが削除されました。

  • Amazon EFS がキーを使用するためのアクセス許可が失効しました。

  • AWS KMS は一時的に使用できません。

実行するアクション

まず、AWS KMS キーが有効になっていることを確認します。コンソールでキーを表示することで確認できます。詳細については、https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html の「AWS Key Management Service Developer Guideキーの表示」を参照してください。

キーが有効になっていない場合は、有効化します。詳細については、『https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html』の「AWS Key Management Service Developer Guideキーの有効化と無効化」を参照してください。

キーの削除が保留中の場合、このステータスによってキーが無効になります。削除をキャンセルして、キーを再度有効にできます。詳細については、https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion の「AWS Key Management Service Developer Guideキーの削除をスケジュールし、キャンセルする」を参照してください。

キーを有効化してもまだ問題が発生している場合、またはキーの再度有効化で問題が発生した場合は、AWS サポートにお問い合わせください。