使用 AWS 管理主控台建立加密檔案系統 - 使用 Amazon Elastic File System 加密檔案資料

使用 AWS 管理主控台建立加密檔案系統

使用下列程序可以利用 AWS 管理主控台來建立加密 Amazon EFS 檔案系統。

步驟 1.設定檔案系統設定

您在此步驟中會設定一般的檔案系統設定,包括生命週期管理、效能與輸送量模式,以及靜態資料加密。

  1. 登入 AWS 管理主控台,然後開啟 Amazon EFS 主控台

  2. 選擇 Create file system (建立檔案系統),開啟 Create file system (建立檔案系統) 對話方塊。如需使用建議設定 (包括根據預設啟用加密) 建立檔案系統的詳細資訊,請參閲建立您的 Amazon EFS 檔案系統

    Dialog box for creating an EFS file system with name input and VPC selection options.

    建立 EFS 檔案系統

  3. (選用) 選取 Customize (自訂) 可建立自訂的檔案系統,而不使用服務建議的設定來建立檔案系統。

    File system settings (檔案系統設定) 頁面會隨即出現。

    File system settings interface with options for name, backups, lifecycle, performance, throughput, and encryption.

    建立 EFS 檔案系統:一般設定

  4. 對於 General (一般) 設定,請輸入下列詳細資訊。

    • (選用) 輸入檔案系統的 Name (名稱)。

    • Automatic backups (自動備份) 預設為開啟。您可以清除核取方塊以關閉自動備份。如需詳細資訊,請參閱搭配 Amazon EFS 一起使用 AWS Backup

    • 選擇 Lifecycle management (生命週期管理) 政策。Amazon EFS 生命週期管理會自動管理您檔案系統中具成本效益的檔案儲存體。若加以啟用,生命週期管理會將尚未存取來設定期間的檔案,移轉至不常存取 (IA) 儲存類別。您可以使用生命週期政策來定義這段期間。若不想啟用生命週期管理,請選擇 None (無)。如需詳細資訊,請參閱《Amazon EFS 使用者指南》中的 EFS 生命週期管理

    • 選擇 Performance mode (效能模式),可以是預設的 General Purpose mode (一般用途模式) 或 Max I/O (最大 I/O)。如需詳細資訊,請參閲《Amazon EFS 使用者指南》中的 效能模式

    • 選擇 Throughput mode (輸送量模式),可以是預設的 Bursting mode (爆量模式) 或 Provisioned mode (佈建模式)。

    • 若選取了 Provisioned (佈建),會隨即顯示Provisioned Throughput (MiB/s) (佈建輸送量 (MiB/秒) 欄位。輸入要為檔案系統佈建的輸送量。輸入輸送量後,主控台會在欄位旁顯示每月成本的估計值。如需詳細資訊,請參閲《Amazon EFS 使用者指南》中的輸送量模式

    • 根據預設,Encryption (加密) 會啟用靜態資料加密。根據預設,其會使用您的 AWS Key Management Service (AWS KMS) EFS 服務金鑰 (aws/elasticfilesystem)。若要選擇不同的 KMS 金鑰進行加密,請展開 Customize encryption settings (自訂加密設定),然後從清單中選擇金鑰。或者,輸入您要使用之 KMS 金鑰的 KMS 金鑰 ID 或 Amazon Resource Name (ARN)。

      若您需要建立新金鑰,請選擇 Create an AWS KMS Key (建立 AWS KMS 金鑰),啟動 AWS KMS 主控台並建立新金鑰。

  5. (選用) 選擇 Add tag (新增標籤),將成對的金鑰/值,新增至您的檔案系統。

  6. 選擇 Next (下一步),繼續進行組態程序中的 Network Access (網路存取) 步驟。

步驟 2.設定網路存取

在此步驟中,您將設定檔案系統的網路設定,包括虛擬私人雲端 (VPC) 與掛載目標。請為每個掛載目標,設定可用區域、子網路、IP 地址與安全性群組。

Network access configuration for Amazon EFS, showing VPC selection and mount target settings.

建立 EFS 檔案系統:網路存取

  1. 選擇您希望 EC2 執行個體連線至您檔案系統的虛擬私人雲端 (VPC)。如需詳細資訊,請參閱《Amazon EFS 使用者指南》中的管理檔案系統網路協助工具

    • 可用區域 – 根據預設,AWS 區域中的每個可用區域內,都設定了掛載目標。若在特定的可用區域內不希望有掛載目標,請選擇 Remove (移除) 以刪除該區域的掛載目標。在預計會存取您檔案系統的每個可用區域中,建立掛載目標。執行此動作無需付費。

    • 子網路 ID – 從可用區域中選擇可用的子網路。預先會選取預設的子網路。最佳實務是根據您的安全需求,確認所選子網路是公有或私有。

    • IP 地址 – 根據預設,Amazon EFS 會從子網路的可用地址中,自動選擇 IP 地址。或者,也可以輸入該子網路中的特定 IP 地址。雖然掛載目標具有單一 IP 地址,但這些目標是具有高可用性的備援網路資源。

    • 安全群組 – 您可以為掛載目標指定一或多個安全群組。最佳實務是確保安全群組僅用於 EFS 掛載用途 (NFS 連接埠 2049),而輸入規則僅允許來自其他 VPC CIDR 區塊範圍的連接埠 2049,或是使用安全群組作為需要存取 EFS 的資源來源。如需詳細資訊,請參閱《Amazon EFS 使用者指南》中的使用 Amazon EC2 執行個體與掛載目標的安全群組

      若要新增其他安全群組或變更安全群組,請選取 Choose security groups (選擇安全群組),然後從清單中新增另一個安全群組。若不想使用預設的安全群組,可以將其刪除。如需詳細資訊,請參閲《Amazon EFS 使用者指南》中的建立安全群組

  2. 選擇 Add mount target (新增掛載目標) 可為沒有掛載目標的可用區域建立掛載目標。如果每個可用區域都已設定掛載目標,則無法使用此選項。

  3. 選擇 Next (下一步) 即可繼續。File system policy (檔案系統政策) 頁面會隨即顯示。

步驟 3.建立檔案系統政策

在此步驟中,您會建立檔案系統政策,控制 NFS 用戶端對檔案系統的存取。EFS 檔案系統政策是 IAM 資源政策,可用於控制 NFS 用戶端對檔案系統的存取。如需詳細資訊,請參閱《Amazon EFS 使用者指南》中的使用 IAM 控制 NFS 對 Amazon EFS 的存取

File system policy configuration interface with policy options and JSON editor.

建立 EFS 檔案系統:檔案系統政策

  1. 政策選項中,建議您選擇下列預先設定的可用政策選項:

    • 根據預設防止根存取

    • 根據預設強制執行唯讀存取

    • 對所有用戶端強制執行傳輸中加密

  2. 使用 Grant additional permissions (授予其他許可),可將檔案系統許可授予給其他 IAM 主體 (包括其他 AWS 帳戶)。選擇 Add (新增),接著輸入要為其授予許可之實體的主體 ARN,然後選擇要授予的 Permissions (許可)。

  3. 根據您的需求,使用 Policy editor (政策編輯器) 自訂預先設定的政策,或是依需求建立您自己的政策。當您選擇其中一個預先設定的政策時,JSON 政策定義會隨即出現在政策編輯器中。

  4. 選擇 Next (下一步) 即可繼續。Review and create (檢閱及建立) 頁面會隨即出現。

步驟 4.檢閱及建立

在此步驟中,您會檢閱檔案系統設定並進行任何修改,然後建立檔案系統。

Review and create page showing file system settings, network access, and policy details.

建立 EFS 檔案系統:檢閱及建立

  1. 檢閱每個檔案系統組態群組。此時,您可以選擇 Edit (編輯),對每個群組進行變更。

  2. 選擇 Create (建立) 可以建立檔案系統,並返回 File systems (檔案系統) 頁面。

  3. File systems (檔案系統) 頁面會顯示檔案系統及其組態詳細資訊,如下圖所示。

    MyFS file system details showing general settings, performance mode, and metered size.

    檔案系統