暗号化のトラブルシューティング

転送中のデータの暗号化を行うマウントが失敗する

デフォルトでは、Amazon EFS マウントヘルパーを Transport Layer Security (TLS) で使用するときに、ホスト名のチェックが強制されます。一部のシステム (Red Hat Enterprise Linux や CentOS など) では、この機能はサポートされません。このような場合は、TLS を使用した EFS ファイルシステムのマウントは失敗します。

実行するアクション

クライアントで stunnel のバージョンをアップグレードして、ホスト名のチェックに対応することをお勧めします。詳細については、「stunnel のアップグレード」を参照してください。

転送中のデータの暗号化を行うマウントが中断する

ごくまれに、Amazon EFS ファイルシステムへの暗号化された接続がハングしたり、クライアント側のイベントによって中断されることがあります。

実行するアクション

転送時のデータ暗号化を使用した Amazon EFS ファイルシステムへの接続が中断される場合、次の手順を実行します。

1. クライアントで stunnel サービスが実行されていることを確認します。

2. ウォッチドッグアプリケーション amazon-efs-mount-watchdog が、クライアントで実行されていることを確認します。このアプリケーションが実行されているかどうかを確認するには、次のコマンドを使用します。

   ps aux | grep [a]mazon-efs-mount-watchdog

3. サポートログを確認します。詳細については、「サポートログの取得」を参照してください。

4. 必要に応じて、stunnel ログを有効にしてそれらの情報を確認することもできます。/etc/amazon/efs/efs-utils.conf でログの設定を変更して、stunnel ログを有効にできます。ただし、変更を有効にするためには、マウントヘルパーでファイルシステムをアンマウントしてから再マウントする必要があります。

   重要

   stunnel ログを有効にすると、ファイルシステムのいくらかの容量が使用されます。

中断が続く場合は、 AWS サポートにお問い合わせください。

E ncrypted-at-rest ファイルシステムを作成できない

新しい encrypted-at-rest ファイルシステムを作成しようとしました。ただし、 AWS KMS が使用できないというエラーメッセージが表示されます。

実行するアクション

このエラーは、 で一時的に使用 AWS KMS できなくなったまれなケースで発生する可能性があります AWS リージョン。この場合、 AWS KMS が完全な可用性に戻るまで待ってから、ファイルシステムの作成を再試行してください。

使用できない暗号化されたファイルシステム

暗号化されたファイルシステムが一貫して NFS サーバーエラーを返します。これらのエラーは、次のいずれか AWS KMS の理由で EFS が からマスターキーを取得できない場合に発生する可能性があります。

• キーが無効になっています。

• キーが削除されました。

• Amazon EFS がキーを使用するためのアクセス許可が失効しました。

• AWS KMS は一時的に使用できません。

実行するアクション

まず、 AWS KMS キーが有効になっていることを確認します。コンソールでキーを表示することで確認できます。詳細については、AWS Key Management Service デベロッパーガイドの「キーの表示」を参照してください。

キーが有効になっていない場合は、有効化します。詳細については、AWS Key Management Service デベロッパーガイドの「キーの有効化と無効化」を参照してください。

キーの削除が保留中の場合、このステータスによってキーが無効になります。削除をキャンセルして、キーを再度有効にできます。詳細については、AWS Key Management Service デベロッパーガイドの「キーの削除をスケジュールし、キャンセルする」を参照してください。

キーが有効で、まだ問題が発生している場合、またはキーの再有効化で問題が発生した場合は、 AWS サポートにお問い合わせください。