Criar um sistema de arquivos criptografados usando o Console de Gerenciamento da AWS - Criptografar dados de arquivos com o Amazon Elastic File System
Etapa 1. Definir as configurações do sistema de arquivosEtapa 2. Configurar o acesso à redeEtapa 3. Criar uma política de sistema de arquivosEtapa 4. Revisar e criar

Criar um sistema de arquivos criptografados usando o Console de Gerenciamento da AWS

Use o procedimento a seguir para criar um sistema de arquivos criptografados do Amazon EFS usando o Console de Gerenciamento da AWS.

Etapa 1. Definir as configurações do sistema de arquivos

Nesta etapa, você deve fazer as configurações gerais do sistema de arquivos, incluindo gerenciamento do ciclo de vida, modos de performance e taxa de transferência e criptografia de dados em repouso.

  1. Faça login no Console de Gerenciamento da AWS e abra o console do Amazon EFS.

  2. Escolha Create file system (Criar sistema de arquivos) para abrir a caixa de diálogo Create file system (Criar sistema de arquivos). Para obter mais informações sobre como criar um sistema de arquivos usando as configurações recomendadas que incluem habilitar a criptografia por padrão, consulte Criar seu sistema de arquivos do Amazon EFS.

    Dialog box for creating an EFS file system with name input and VPC selection options.

    Criar sistema de arquivos do EFS

  3. (Opcional) Selecione Customize (Personalizar) para criar um sistema de arquivos personalizado em vez de criar um sistema de arquivos usando as configurações recomendadas pelo serviço.

    A página de configurações do sistema de arquivos é exibida.

    File system settings interface with options for name, backups, lifecycle, performance, throughput, and encryption.

    Criar sistema de arquivos do EFS: configurações gerais

  4. Para as configurações General (Gerais), insira os detalhes a seguir:

    • (Opcional) Insira um Name (Nome) para o sistema de arquivos.

    • Backups automáticos são ativados por padrão. É possível desativar backups automáticos desmarcando a caixa de seleção. Para obter mais informações, consulte Usar AWS Backup com Amazon EFS.

    • Escolha uma política de gerenciamento do ciclo de vida. O gerenciamento de ciclo de vida útil do Amazon EFS gerencia automaticamente o armazenamento de arquivos econômico dos seus sistemas de arquivos. Quando habilitado, o gerenciamento do ciclo de vida migra os arquivos que não foram acessados por um período definido para a classe de armazenamento de acesso infrequente (IA). Esse período é definido usando a política do ciclo de vida. Se você não quiser que o gerenciamento do ciclo de vida seja ativado, escolha None (Nenhum). Para obter mais informações, consulte Gerenciamento do ciclo de vida do EFS no Guia do usuário do Amazon EFS.

    • Escolha um Performance mode (Modo de performance), General Purpose mode (modo de uso geral) ou Max I/O (E/S máx.). Para obter mais informações, consulte Modos de performance no Guia do usuário do Amazon EFS.

    • Escolha um Throughput mode (Modo de taxa de transferência), que pode ser o padrão Bursting (Intermitente) ou o Provisioned (Provisionado).

    • Se você selecionou Provisioned (Provisionado), o campo Provisioned Throughput (MiB/s) (Taxa de transferência provisionada (MiB/s)) será exibido. Insira a quantidade de taxa de transferência a ser provisionada para o sistema de arquivos. Depois de inserir a taxa de transferência, o console exibirá uma estimativa do custo mensal ao lado do campo. Para obter mais informações, consulte Modos de taxa de transferência no Guia do usuário do Amazon EFS.

    • Em Encryption (Criptografia), a criptografia de dados em repouso é habilitada por padrão. Ela usa sua chave de serviço do EFS do AWS Key Management Service (AWS KMS) (aws/elasticfilesystem) por padrão. Para escolher uma chave KMS diferente para criptografia, expanda as configurações de criptografia Customize (Personalizar) e escolha uma chave na lista. A outra opção é inserir um ID de chave KMS ou nome do recurso da Amazon (ARN) para a chave KMS a ser usada.

      Se você precisar criar uma chave, escolha Create an AWS Key (Criar uma chave do AWS KMS) para iniciar o console do AWS KMS e criar uma chave.

  5. (Opcional) Escolha Add tag (Adicionar etiqueta) para adicionar pares de valores-chave ao sistema de arquivos.

  6. Escolha Next (Próximo) para prosseguir para a etapa Network Access (Acesso à rede) no processo de configuração.

Etapa 2. Configurar o acesso à rede

Nesta etapa, você definirá as configurações de rede do sistema de arquivos, incluindo a nuvem privada virtual (VPC) e os destinos de montagem. Para cada destino de montagem, defina a zona de disponibilidade, a sub-rede, o endereço IP e os grupos de segurança.

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

Criar sistema de arquivos do EFS: acesso à rede

  1. Escolha a nuvem privada virtual (VPC) na qual deseja que as instâncias do EC2 se conectem ao sistema de arquivos. Para obter mais informações, consulte Gerenciar a acessibilidade de rede do sistema de arquivos no Guia do usuário do Amazon EFS.

    • Zona de disponibilidade: por padrão, um destino de montagem é configurado em cada zona de disponibilidade em uma região da AWS. Se você não quiser um destino de montagem em determinada zona de disponibilidade, escolha Remove (Remover) para excluir o destino de montagem dessa zona. Crie um destino de montagem em todas as zonas de disponibilidade em que deseja acessar seu sistema de arquivos. Não há custos.

    • ID de sub-rede: escolha entre as sub-redes disponíveis em uma zona de disponibilidade. A sub-rede padrão é pré-selecionada. Como prática recomendada, certifique-se de que a sub-rede escolhida seja pública ou privada com base nos seus requisitos de segurança.

    • Endereço IP: por padrão, o Amazon EFS escolhe o endereço IP automaticamente dos endereços disponíveis na sub-rede. Também é possível inserir um endereço IP específico que está na sub-rede. Embora o destino de montagem tenha um único endereço IP, eles são recursos de rede redundantes e altamente disponíveis.

    • Grupos de segurança: é possível especificar um ou mais grupos de segurança para o destino de montagem. Como prática recomendada, verifique se o grupo de segurança é usado apenas para fins de montagem do EFS (porta NFS 2049) e se as regras de entrada permitem somente a porta 2049 de outro intervalo de blocos CIDR da VPC ou utilize o grupo de segurança como fonte dos recursos que precisam acessar o EFS. Para obter mais informações, consulte Uso de grupos de segurança para instâncias do Amazon EC2 e destinos de montagem no Guia do usuário do Amazon EFS.

      Para adicionar outro grupo de segurança ou alterá-lo, selecione Choose security groups (Escolher grupos de segurança) e adicione outro grupo de segurança da lista. Se não desejar usar o grupo de segurança padrão, você pode excluí-lo. Para obter mais informações, consulte Criar grupos de segurança no Guia do usuário do Amazon EFS.

  2. Escolha Add mount target (Adicionar destino de montagem) para criar um destino de montagem para uma zona de disponibilidade que não tenha um. Se um destino de montagem estiver configurado para cada zona de disponibilidade, esta opção não estará disponível.

  3. Escolha Next (Próximo) para continuar. A página File system policy (Política de sistema de arquivos) é exibida.

Etapa 3. Criar uma política de sistema de arquivos

Nesta etapa, você cria uma política de sistema de arquivos para controlar o acesso do cliente NFS ao sistema de arquivos. Uma política de sistema de arquivos do EFS é uma política de recursos do IAM utilizada para controlar o acesso do cliente NFS ao sistema de arquivos. Para obter mais informações, consulte Usar o IAM para controlar o acesso NFS ao Amazon EFS no Guia do usuário do Amazon EFS.

File system policy configuration interface with policy options and JSON editor.

Criar sistema de arquivos do EFS: política do sistema de arquivos

  1. Em Policy options (Opções de política), recomendamos que você escolha as seguintes opções de política pré-configuradas disponíveis:

    • Impedir acesso raiz por padrão

    • Impor acesso somente leitura por padrão

    • Impor criptografia em trânsito para todos os clientes

  2. Use Grant additional permissions (Conceder permissões adicionais) para conceder permissões do sistema de arquivos a mais entidades principais do IAM, incluindo outra conta da AWS. Escolha Add (Adicionar) e insira o ARN da entidade principal à qual você está concedendo permissões. Depois, escolha as Permissions (Permissões) a serem concedidas.

  3. Use o Policy editor (Editor de políticas) para personalizar uma política pré-configurada ou criar sua própria política com base no que você precisa. Quando uma das políticas pré-configuradas é escolhida, a definição de política JSON aparece no editor de políticas.

  4. Escolha Next (Próximo) para continuar. A página Review and create (Revisar e criar) é exibida.

Etapa 4. Revisar e criar

Nesta etapa, você revisará as configurações do sistema de arquivos, fará as modificações necessárias e, depois, criará o sistema de arquivos.

Review and create page showing file system settings, network access, and policy details.

Criar sistema de arquivos do EFS: revisar e criar

  1. Revise cada um dos grupos de configuração do sistema de arquivos. É possível fazer alterações em cada grupo nessa etapa, escolhendo a opção Edit (Editar).

  2. Escolha Create (Criar) para criar o sistema de arquivos e retornar à página File Systems (Sistemas de arquivos).

  3. A página File systems (Sistemas de arquivos) exibe o sistema de arquivos e seus detalhes de configuração, conforme mostrado a seguir.

    MyFS file system details showing general settings, performance mode, and metered size.

    File Systems (Sistemas de arquivo)