演练:在 Amazon EFS 文件系统上实施静态加密 - Amazon Elastic File System
实施静态加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

演练:在 Amazon EFS 文件系统上实施静态加密

您可以在下文中找到有关如何使用 Amazon CloudWatch 实施静态加密的详细信息。AWS CloudTrail. 本演练基于AWS白皮书使用 Amazon EFS 加密的文件系统静态加密数据.

注意

本演练中介绍的强制创建静态加密的 Amazon EFS 文件系统的方法已弃用。强制创建静态加密的文件系统的首选方法是使用elasticfilesystem:Encrypted输入条件键AWS Identity and Access Management基于身份的策略。有关更多信息,请参阅 示例:强制创建加密文件系统。您可以使用此演练创建 CloudWatch 警报,以验证您的 IAM 策略是否阻止创建未加密的文件系统。

实施静态加密

您的组织可能要求静态加密符合特定分类条件的所有数据,或者静态加密与特定应用程序、工作负载或环境关联的所有数据。您可以使用侦探性控制为 Amazon EFS 文件系统实施静态数据加密策略。这些控制检测创建的文件系统,并验证是否启用了静态加密。

如果检测到没有静态加密的文件系统,您可以通过多种方法进行响应。这些方法包括删除文件系统和挂载目标以及通知管理员。

如果要删除未静态加密的文件系统,但希望保留数据,请先创建新的静态加密的文件系统。然后,将数据复制到新的静态加密的文件系统。在复制数据后,您可以删除未静态加密的文件系统。

检测静态时未加密的文件系统

您可以创建 CloudWatch 警报监控 CloudTrail 日志中的CreateFileSystemevent. 然后,您可以触发警报,以便在创建未静态加密的文件系统时通知管理员。

创建指标筛选条件

要创建在创建未加密的 Amazon EFS 文件系统时触发的 CloudWatch 警报,请使用以下过程。

在开始之前,您必须创建了一个跟踪以将 CloudTrail 日志发送到 CloudWatch Logs 日志组。有关更多信息,请参阅 。将事件发送到 CloudWatch Logs中的AWS CloudTrail用户指南.

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,选择日志

  3. 在日志组列表中,选择为 CloudTrail 日志事件创建的日志组。

  4. 选择 Create Metric Filter

  5. 定义日志指标筛选条件页上,选择筛选模式,然后键入以下内容:

    { ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) }

  6. 选择 Assign Metric (分配指标)

  7. 对于 Filter Name (筛选器名称),键入 UnencryptedFileSystemCreated

  8. 对于 Metric Namespace (指标命名空间),键入 CloudTrailMetrics

  9. 对于 Metric Name(指标名称),键入 UnencryptedFileSystemCreatedEventCount

  10. 选择 Show advanced metric settings

  11. 对于 Metric Value (指标值),键入 1

  12. 选择 Create Filter

创建警报

在创建指标筛选条件后,请使用以下过程创建一个警报。

创建警报

  1. Log_Group_Name 页面的筛选条件上,在 UnencryptedFileSystemCreated 筛选条件名称旁边选择创建警报

  2. 创建警报页上,设置以下参数:

    • 对于 Name (名称),键入 Unencrypted File System Created

    • 对于每当,请执行以下操作:

      • 设置为 > = 1

      • 对于: 设置为 1 个连续时间段。

    • 对于将缺失的数据作为以下内容处理,请选择好 (未超出阈值)

    • 对于操作,请执行以下操作:

      • 对于每当此警报,请选择状态为“警报”

      • 对于发送通知到,选择 NotifyMe,选择新建列表,然后为该列表键入唯一的主题名称。

      • 对于电子邮件列表,请键入要将通知发送到的电子邮件地址。将会通过该地址接收一封电子邮件,以确认创建了该警报。

    • 对于警报预览,请执行以下操作:

      • 对于周期,请选择 1 分钟

      • 对于统计数据,请选择标准总计

  3. 选择 Create Alarm(创建告警)

测试创建未加密的文件系统的警报

您可以创建未静态加密的文件系统以测试警报,如下所示。

创建未静态加密的文件系统以测试警报

  1. 登录到AWS Management Console然后打开 Amazon EFS 控制台https://console.aws.amazon.com/efs/.

  2. 选择创建文件系统显示创建文件系统对话框。

  3. 要创建静态未加密的文件系统,请选择自定义显示文件系统设置页.

  4. 适用于普通的在设置中,输入以下信息。

    1. (可选)输入名称对于文件系统。

    2. 保持生命周期管理性能模式, 和吞吐量模式将其设置为默认值。

    3. 关闭加密通过清除启用静态数据加密.

  5. 选择下一步以继续到网络访问在配置过程中执行步骤。

  6. 选择默认值Virtual Private Cloud (VPC).

  7. 适用于挂载目标,选择默认值安全组为每个挂载目标。

  8. 选择下一步显示文件系统策略页.

  9. 选择下一步以继续到审核和创建页.

  10. 查看文件系统,然后选择Create创建文件系统并返回文件系统页.

您的跟踪将记录CreateFileSystem操作,并将事件传送到 CloudWatch Logs 日志组。该事件会触发您的指标警报,而 CloudWatch Logs 会向您发送有关相应更改的通知。