故障診斷加密

以傳輸中的資料加密進行的掛載失敗

預設情況下，當您使用 Amazon EFS 掛載協助程式搭配 Transport Layer Security (TLS) 時，它會強制執行主機名稱檢查。有些系統不支援此功能，例如當您使用 Red Hat Enterprise Linux 或 CentOS 時。在這些情況下，使用 TLS 來掛載 EFS 檔案系統會失敗。

採取動作

我們建議在您的用戶端升級 stunnel 版本以支援主機名稱檢查。如需詳細資訊，請參閱 升級 stunnel。

以傳輸中的資料加密進行的掛載已中斷

您的 Amazon EFS 檔案系統已加密連線可能會因為用戶端事件而停止回應或中斷，這是有可能發生的事，但機率不高。

採取動作

如果您的以傳輸中的資料加密的 Amazon EFS 檔案系統連線被中斷，請執行以下步驟：

1. 請確認 stunnel 服務正在用戶端上執行。

2. 請確認監視程式應用程式 amazon-efs-mount-watchdog 正在用戶端上執行。此應用程式正在執行，您可以找出是否使用下列命令：

   ps aux | grep [a]mazon-efs-mount-watchdog

3. 檢查您的支援日誌。如需詳細資訊，請參閱 取得支援日誌。

4. 或者，您也可以啟用您的 stunnel 日誌並檢查那些資訊。您可以在 /etc/amazon/efs/efs-utils.conf 中變更您的日誌組態以啟用 stunnel 日誌。然而如此一來，您就必須使用掛載協助程式卸載該檔案系統，然後再重新掛載以讓該變更生效。

   重要

   啟用 stunnel 日誌可能會在您的檔案系統佔用極大的空間。

如果中斷繼續，請聯絡 Sup AWS port 部門。

E ncrypted-at-rest 檔案系統無法建立

您已嘗試建立新的 encrypted-at-rest 檔案系統。但是，您會收到一條錯誤消息，指出 AWS KMS 無法使用。

採取動作

此錯誤可能發生在極少數情況下暫 AWS KMS 時無法在您的 AWS 區域. 如果發生這種情況，請等到 AWS KMS 恢復完整的可用性，然後再試一次建立檔案系統。

無法使用加密的檔案系統

加密檔案系統持續傳回 NFS 伺服器錯誤。當 EFS 因 AWS KMS 為下列其中一個原因而無法從擷取主金鑰時，可能會發生這些錯誤：

• 該金鑰已停用。

• 該金鑰已刪除。

• Amazon EFS 使用金鑰的許可已被撤銷。

• AWS KMS 暫時無法使用。

採取動作

首先，確認 AWS KMS 金鑰已啟用。您可以在主控台中檢視金鑰是否已啟用。如需詳細資訊，請在《AWS Key Management Service 開發人員指南》中的檢視金鑰。

如果該金鑰未啟用，請將其啟用。如需詳細資訊，請參閱在《AWS Key Management Service 開發人員指南》中的啟用和停用金鑰。

如果該金鑰正在等待刪除，則此狀態會停用金鑰。您可以取消刪除並重新啟用該金鑰。如需詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的排程和取消金鑰刪除。

如果金鑰已啟用，而您仍然遇到問題，或者重新啟用金鑰時遇到問題，請聯絡 Sup AWS port 部門。