使用 AWS 管理控制台创建加密文件系统 - 使用 Amazon Elastic File System 加密文件数据

使用 AWS 管理控制台创建加密文件系统

按照以下程序使用 AWS 管理控制台创建加密的 Amazon EFS 文件系统。

步骤 1.配置文件系统设置

在这个步骤中,您配置常规文件系统设置,包括生命周期管理、性能和吞吐量模式以及静态数据加密。

  1. 登录 AWS 管理控制台,打开 Amazon EFS 控制台

  2. 选择 Create file system(创建文件系统)以打开 Create file system(创建文件系统)对话框。有关使用推荐设置(包括默认启用加密)创建文件系统的更多信息,请参阅创建您的 Amazon EFS 文件系统

    Dialog box for creating an EFS file system with name input and VPC selection options.

    创建 EFS 文件系统

  3. (可选)选择 Customize(自定义)以创建自定义文件系统,而不是使用服务建议的设置创建文件系统。

    此时将显示 File system settings(文件系统设置)页面。

    File system settings interface with options for name, backups, lifecycle, performance, throughput, and encryption.

    创建 EFS 文件系统:常规设置

  4. 对于 General(常规)设置,请输入以下详细信息。

    • (可选)输入文件系统的 Name(名称)。

    • 默认情况下,Automatic backups(自动备份)处于打开状态。您可以通过清除复选框来关闭自动备份。有关更多信息,请参阅将 AWS Backup 与 Amazon EFS 结合使用

    • 选择 Lifecycle management(生命周期管理)策略。Amazon EFS 生命周期管理自动针对您的文件系统管理经济高效的文件存储。启用后,生命周期管理将在一段设定时间内未访问的文件迁移到不常访问(IA)存储类别。您可以使用生命周期策略定义这段时间。如果不希望启用生命周期管理,请选择 None(无)。有关更多信息,请参阅 Amazon EFS 用户指南 中的 EFS 生命周期管理

    • 选择 Performance mode(性能模式):默认的 General Purpose mode(通用模式)或 Max I/O(最大 I/O)。有关更多信息,请参阅 Amazon EFS 用户指南中的性能模式

    • 选择 Throughput mode(吞吐量模式):默认的 Bursting mode(突增模式)或 Provisioned mode(预置模式)。

    • 如果选择了 Provisioned(预置),则会显示 Provisioned Throughput (MiB/s)(预置吞吐量 (MiB/s))字段。输入要为文件系统预置的吞吐量。输入吞吐量后,控制台会在字段旁边显示每月成本的估计值。有关更多信息,请参阅 Amazon EFS 用户指南中的吞吐量模式

    • 对于 Encryption(加密),默认情况下启用静态数据加密。默认情况下,它使用您的 AWS Key Management Service(AWS KMS)EFS 服务密钥(aws/elasticfilesystem)。要选择其他用于加密的 KMS 密钥,请展开 Customize encryption settings(自定义加密设置),然后从列表中选择一个密钥。或者,输入要使用的 KMS 密钥的 KMS 密钥 ID 或 Amazon Resource Name (ARN)。

      如果您需要创建新密钥,请选择 Create an AWS KMS key(创建 AWS KMS 密钥)以启动 AWS KMS 控制台并创建新密钥。

  5. (可选)选择 Add tag(添加标签)以将键值对添加到文件系统。

  6. 选择 Next(下一步)继续执行配置过程中的 Network Access(网络访问)步骤。

步骤 2.配置网络访问

在此步骤中,配置文件系统的网络设置,包括 virtual private cloud (VPC) 和挂载目标。对于每个挂载目标,设置可用区、子网、IP 地址和安全组。

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

创建 EFS 文件系统:网络访问

  1. 选择您希望 EC2 实例连接到文件系统的 Virtual Private Cloud (VPC)。有关详细信息,请参阅 Amazon EFS 用户指南中的管理文件系统网络可访问性

    • 可用区 – 默认情况下,在 AWS 区域的每个可用区中配置挂载目标。如果您不希望在特定可用区中设置挂载目标,请选择 Remove(删除)以删除该区域的挂载目标。在您计划从中访问文件系统的每个可用区中创建一个挂载目标。无需任何费用。

    • 子网 ID – 从可用区的可用子网中进行选择。默认子网处于预选中状态。最佳实践是,根据您的安全要求,确保所选子网为公有或私有子网。

    • IP 地址 – 默认情况下,Amazon EFS 从子网的可用地址中自动选择 IP 地址。或者,您可以输入子网中的特定 IP 地址。虽然挂载目标只有一个 IP 地址,但它们是冗余、高度可用的网络资源。

    • 安全组 – 可以为挂载目标指定一个或多个安全组。作为最佳实践,请确保安全组仅用于 EFS 挂载目的(NFS 端口 2049),并且入站规则仅允许来自其他 VPC CIDR 块范围的端口 2049,或者使用安全组作为需要访问 EFS 的资源的来源。有关更多信息,请参阅 Amazon EFS 用户指南中的使用 Amazon EC2 实例和挂载目标的安全组

      要添加其他安全组或更改安全组,请选择 Choose security groups(选择安全组),然后从列表中添加另一个安全组。如果您不想使用默认安全组,可以将其删除。有关更多信息,请参阅 Amazon EFS 用户指南中的创建安全组

  2. 选择 Add mount target(添加挂载目标),以便为没有挂载目标的可用区创建挂载目标。如果为每个可用区配置了挂载目标,则此选项不可用。

  3. 选择 Next(下一步)以继续。此时将显示 File system policy(文件系统策略)页面。

步驟 3.创建文件系统策略

在此步骤中,创建文件系统策略以控制 NFS 客户端对文件系统的访问。EFS 文件系统策略是用于控制 NFS 客户端对文件系统的访问的 IAM 资源策略。有关更多信息,请参阅 Amazon EFS 用户指南 中的使用 IAM 控制对 Amazon EFS 的 NFS 访问

File system policy configuration interface with policy options and JSON editor.

创建 EFS 文件系统:文件系统策略

  1. Policy options(策略选项)中,我们建议您选择以下可用的预配置策略选项:

    • 默认情况下阻止根访问

    • 默认情况下强制实施只读访问

    • 为所有客户端强制实施传输中加密

  2. 使用 Grant additional permissions(授予额外权限)向其他 IAM 主体(包括另一个 AWS 账户)授予文件系统权限。选择 Add(添加),然后输入要向其授予权限的实体的主体 ARN,然后选择要授予的 Permissions(权限)。

  3. 根据您的需求使用 Policy editor(策略编辑器)自定义预配置的策略或创建自己的策略。选择其中一个预配置的策略时,JSON 策略定义将显示在策略编辑器中。

  4. 选择 Next(下一步)以继续。此时将显示 Review and create(审核和创建)页面。

步骤 4.审核和创建

在此步骤中,检查文件系统设置,进行任何修改,然后创建文件系统。

Review and create page showing file system settings, network access, and policy details.

创建 EFS 文件系统:审核和创建

  1. 查看每个文件系统配置组。此时您可以通过选择 Edit(编辑)对每个组进行更改。

  2. 选择 Create(创建)以创建文件系统并返回到 File systems(文件系统)页。

  3. File systems(文件系统)页显示文件系统及其配置详细信息,如下图所示。

    MyFS file system details showing general settings, performance mode, and metered size.

    文件系统