Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsseln von Daten während der Übertragung
Amazon EFS unterstützt die Verschlüsselung von Daten während der Übertragung mit Transport Layer Security (TLS). Wenn die Verschlüsselung von Daten während der Übertragung als Mount-Option für Ihr EFS-Dateisystem deklariert ist, stellt Amazon EFS beim Mounten Ihres Dateisystems eine sichere TLS-Verbindung mit Ihrem EFS-Dateisystem her. Der gesamte NFS-Verkehr wird über diese verschlüsselte Verbindung geleitet.
Funktionsweise der Verschlüsselung während der Übertragung
Wir empfehlen die Verwendung der EFS-Mountinghilfe zum Mounten Ihres Dateisystems, da sie den Einhängevorgang im Vergleich zum Einhängen mit NFS mount vereinfacht. Der EFS-Mount-Helper verwaltet den Prozess, indem er entweder efs-proxy (für efs-utils Version 2.0.0 und höher) oder stunnel (für frühere Versionen von efs-utils) verwendet, um eine sichere TLS-Verbindung mit Ihrem EFS-Dateisystem herzustellen.
Sie können die Datenverschlüsselung während der Übertragung aber auch ohne die Mountinghilfe aktivieren. Im Folgenden finden Sie die dafür erforderlichen Schritte.
Um die Verschlüsselung von Daten während der Übertragung zu aktivieren, ohne den Mount Helper zu verwenden
-
Laden Sie
stunnelherunter und installieren Sie es, und notieren Sie sich den Port, auf dem die Anwendung lauscht. Weitere Informationen finden Sie unter Upgraden von stunnel. -
Führen Sie
stunnelden Befehl aus, um mithilfe von TLS eine Verbindung zu Ihrem EFS-Dateisystem auf Port 2049 herzustellen. -
Mounten Sie mithilfe des NFS-Clients
localhost:, wobeiportport
Da die Verschlüsselung von Daten während der Übertragung für jede einzelne Verbindung konfiguriert wird, läuft für jede konfigurierte Verbindung ein eigener stunnel-Vorgang auf der Instance. Standardmäßig überwacht der vom Mount Helper verwendete Stunnel-Prozess einen lokalen Port zwischen 20049 und 20449 und stellt auf Port 2049 eine Verbindung zu Amazon EFS her.
Anmerkung
Wenn der EFS-Mount-Helper mit TLS verwendet wird, erzwingt er standardmäßig die Verwendung des Online Certificate Status Protocol (OCSP) und die Überprüfung von Zertifikats-Hostnamen. Der EFS-Mount-Helper verwendet das Stunnel-Programm für seine TLS-Funktionalität. In manchen Linux-Versionen ist keine Stunnel-Version enthalten, die diese TLS-Features standardmäßig unterstützt. Wenn Sie eine dieser Linux-Versionen verwenden, schlägt das Mounten eines EFS-Dateisystems mithilfe von TLS fehl.
Wenn Sie das amazon-efs-utils Paket installiert haben, erfahren Sie unterUpgraden von stunnel, wie Sie die Version von stunnel auf Ihrem System aktualisieren.
Informationen zu Problemen mit der Verschlüsselung finden Sie unter Fehlerbehebung bei der Verschlüsselung.
Wenn Sie Datenverschlüsselung während der Übertragung verwenden, ändert sich die Einrichtung des NFS-Clients. Wenn Sie Ihre aktiv gemounteten Dateisysteme untersuchen, sehen Sie eines, das an 127.0.0.1 oder localhost gemountet ist, wie im folgenden Beispiel.
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Beim Mounten mit TLS und dem EFS-Mount-Helper konfigurieren Sie Ihren NFS-Client neu, sodass er an einem lokalen Port gemountet wird. Die EFS-Mountinghilfe startet einen Client-Vorgang stunnel, der auf diesem lokalen Port lauscht, und stunnel öffnet eine verschlüsselte Verbindung zum EFS-Dateisystem über TLS. Die EFS-Mountinghilfe ist für die Einrichtung und Pflege dieser verschlüsselten Verbindung und der zugehörigen Konfiguration zuständig.
Um festzustellen, welche Amazon-EFS-Dateisystem-ID zu welchem lokalen Mounting-Punkt gehört, können Sie den folgenden Befehl verwenden. Denken Sie daran, es efs-mount-point durch den lokalen Pfad zu ersetzen, in dem Sie Ihr Dateisystem bereitgestellt haben.
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Wenn Sie den EFS-Mount-Helper für die Verschlüsselung von Daten während der Übertragung verwenden, erstellt er auch einen Prozess namensamazon-efs-mount-watchdog. Dieser Prozess stellt sicher, dass der Stunnel-Prozess jedes Mounts ausgeführt wird, und stoppt den Stunnel, wenn das EFS-Dateisystem unmountet wird. Wenn der Stunnel-Vorgang aus irgendeinem Grund unerwartet beendet wird, wird er vom Watchdog-Vorgang neu gestartet.
