翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Elastic File System
Amazon Elastic File System (Amazon EFS) は、 AWS クラウドでの共有ファイルシステムの作成と設定に役立ちます。
このサービスでは、以下の暗号化のベストプラクティスを検討してください。
-
で AWS Config、 efs-encrypted-check AWS マネージドルールを実装します。このルールは、Amazon EFS が を使用してファイルデータを暗号化するように設定されているかどうかを確認します AWS KMS。
-
Amazon EFS ファイルシステムの暗号化を強制するには、Amazon CloudWatch アラームを作成します。このアラームは、 CloudTrail ログの
CreateFileSystemイベントをモニタリングし、暗号化されていないファイルシステムが作成された場合にアラームをトリガーします。詳細については、「チュートリアル: 保管時に Amazon EFS ファイルシステムの暗号化を強制する」を参照してください。。 -
EFS マウントヘルパーを使用してファイルシステムをマウントする こうすることで、クライアントと Amazon EFS サービス間の TLS 1.2 トンネルが設定および維持され、すべてのネットワークファイルシステム (NFS) トラフィックがこの暗号化されたトンネルを介してルーティングされます。次のコマンドは、転送中の暗号化に TLS を使用する機能を実装します。
sudo mount -t efs -o tls file-system-id:/ /mnt/efs詳細については、「EFS マウントヘルパーを使用して EFS ファイルシステムをマウントする」を参照してください。
-
を使用して AWS PrivateLink、インターフェイス VPC エンドポイントを実装し、VPCs と Amazon EFS API 間のプライベート接続を確立します。VPN 接続を介してエンドポイントへ、またはエンドポイントから転送されるデータが暗号化されます。詳細については、「インターフェイス VPC エンドポイントを使用して AWS のサービス にアクセスする」を参照してください。
-
IAM ID ベースのポリシーの
elasticfilesystem:Encrypted条件キーを使用して、暗号化されていない EFS ファイルシステムをユーザーが作成できないようにします。詳細については、「IAM を使用して暗号化されたファイルシステムの作成を強制する」を参照してください。 -
EFS 暗号化に使用する KMS キーは、リソースベースのキーポリシーを使用して最小特権アクセスに設定する必要があります。
-
EFS ファイルシステムポリシーの
aws:SecureTransport条件キーを使用して、EFS ファイルシステムへの接続時に、NFS クライアントに TLS を強制的に使用します。詳細については、https://docs.aws.amazon.com/whitepapers/latest/efs-encrypted-file-systems/encryption-of-data-in-transit.htmlAmazon Elastic File Systemを参照してください。AWS
