amazon-efs-utils ツールを使用する - Amazon Elastic File System

amazon-efs-utils ツールを使用する

以下は、Amazon EFS ツールのオープンソースコレクションの amazon-efs-utils についての説明です。

stunnel のアップグレード

転送中のデータの暗号化に Amazon EFS マウントヘルパーを使用する場合、OpenSSL バージョン 1.0.2 以降、および OCSP と証明書ホスト名チェックの両方をサポートする stunnel のバージョンが必要です。Amazon EFS マウントヘルパーは、TLS 機能の stunnel プログラムを使用します。Linux のバージョンによっては、これらの TLS 機能をサポートする stunnel のバージョンがデフォルトで含まれていない場合があることに注意してください。これらの Linux バージョンのいずれかを使用する場合、TLS を使用する Amazon EFS ファイルシステムのマウントが失敗します。

Amazon EFS マウントヘルパーをインストールした後、stunnel のシステムのバージョンをアップグレードするには、次の手順を実行します。

stunnel をアップグレードするには

  1. ウェブブラウザで、stunnel のダウンロードページ https://stunnel.org/downloads.html に移動します。

  2. tar.gz 形式で利用可能な最新バージョンの stunnel を見つけます。ファイル名をメモしておきます。この名前は以降のステップで必要になります。

  3. Linux クライアントでターミナルを開き、記載されている順にコマンドを実行します。

  4. $ sudo yum install -y gcc openssl-devel tcp_wrappers-devel
  5. latest-stunnel-version を、ステップ 2 で書き留めておいたファイル名に置き換えます。

    $ sudo curl -o latest-stunnel-version.tar.gz https://stunnel.org/downloads/latest-stunnel-version.tar.gz
  6. $ sudo tar xvfz latest-stunnel-version.tar.gz
  7. $ cd latest-stunnel-version/
  8. $ sudo ./configure
  9. $ sudo make
  10. 現在の amazon-efs-utils パッケージは bin/stunnel にインストールされます。したがって、新しいバージョンをインストールするには、次のコマンドを使用してそのディレクトリを削除します。

    $ sudo rm /bin/stunnel
  11. $ sudo make install
  12. 注記

    デフォルトの CentOS シェルは bash シェルとは異なる構文がある csh です。以下のコードでは、まず bash が呼び出されて実行されます。

    bash
    if [[ -f /bin/stunnel ]]; then sudo mv /bin/stunnel /root fi
  13. $ sudo ln -s /usr/local/bin/stunnel /bin/stunnel

必要な機能のある stunnel のバージョンをインストールした後、推奨される設定で TLS を使用してファイルシステムをマウントできます。

証明書ホスト名のチェックの無効化

必要な依存関係をインストールできない場合、Amazon EFS マウントヘルパー設定で、必要に応じて証明書ホスト名チェックを無効にできます。実稼働環境でこれらの機能を無効にすることはお勧めしません。証明書ホスト名チェックを無効にするには、次の操作を行います。

  1. 任意のテキストエディタを使用して、/etc/amazon/efs/efs-utils.conf ファイルを開きます。

  2. stunnel_check_cert_hostname 値を false に設定します。

  3. 変更をファイルに保存して閉じます。

転送中のデータの暗号化の使用の詳細については、EFS ファイルシステムをマウントする を参照してください。

オンライン証明書ステータスプロトコルの有効化

VPC から CA にアクセスできない場合のファイルシステムの可用性を最大化するため、転送中のデータの暗号化を選択した場合、オンライン証明書ステータスプロトコル (OCSP) はデフォルトでは有効になりません。Amazon EFS は Amazon 証明機関 (CA) を使用して、TLS 証明書を発行および署名します。CA は、OCSP を使用して、失効した証明書を確認するようクライアントに指示します。OCSP エンドポイントは、証明書のステータスを確認するため、仮想プライベートクラウドからインターネット経由でアクセスできる必要があります。EFS は、サービス内で継続的に証明書のステータスをモニタリングします。失効した証明書が検出された場合、EFS は新しい証明書を発行してその証明書を置き換えます。

可能な限り強力なセキュリティを提供するため、OCSP を有効にできます。これにより、Linux クライアントは失効した証明書を確認することができます。OCSP は失効した証明書の悪用を防止しますが、それが VPC 内部で発生する可能性はほとんどありません。EFS TLS 証明書が失効した場合、Amazon はセキュリティ情報を発行し、失効した証明書を拒否する新しいバージョンの EFS マウントヘルパーをリリースします。

以降のすべての EFS への TLS 接続において、Linux クライアントで OCSP を有効にするには

  1. Linux クライアントのターミナルを開きます。

  2. 任意のテキストエディタを使用して、/etc/amazon/efs/efs-utils.conf ファイルを開きます。

  3. stunnel_check_cert_validity の値を true に設定します。

  4. 変更をファイルに保存して閉じます。

mount コマンドの一部として OCSP を有効にするには

  • 次のマウントコマンドを使用して、ファイルシステムをマウントするときに OCSP を有効にします。

    $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs