Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Datenverschlüsselung in Amazon EFS
Amazon EFS bietet umfassende Verschlüsselungsfunktionen, um Ihre Daten sowohl im Speicher als auch bei der Übertragung zu schützen.
+ **Verschlüsselung im Ruhezustand** — Verschlüsselt Daten, die in Ihrem Dateisystem gespeichert sind.
+ **Verschlüsselung bei der Übertragung** — Verschlüsselt Daten, während sie zwischen Ihren Clients und dem Dateisystem übertragen werden.
Wenn Ihr Unternehmen Unternehmens- oder behördlichen Richtlinien unterliegt, die die Verschlüsselung von Daten und Metadaten vorschreiben, empfehlen wir, ein Dateisystem zu erstellen, das im Ruhezustand verschlüsselt wird, und Ihr Dateisystem mithilfe der Verschlüsselung von Daten bei der Übertragung zu mounten.
**Topics**
+ [Verschlüsseln von Daten im Ruhezustand](encryption-at-rest.md)
+ [Verschlüsseln von Daten während der Übertragung](encryption-in-transit.md)
+ [AWS KMS Schlüssel für Amazon EFS verwenden](EFSKMS.md)
+ [Fehlerbehebung bei der Verschlüsselung](troubleshooting-efs-encryption.md)
# Verschlüsseln von Daten im Ruhezustand
Die Verschlüsselung im Ruhezustand verschlüsselt Daten, die auf Ihrem EFS-Dateisystem gespeichert sind. Auf diese Weise können Sie Compliance-Anforderungen erfüllen und sensible Daten vor unbefugtem Zugriff schützen. Ihr Unternehmen verlangt möglicherweise die Verschlüsselung aller Daten, die einer bestimmten Klassifizierung entsprechen oder mit einer bestimmten Anwendung, einem Workload oder einer bestimmten Umgebung verknüpft sind.
**Anmerkung**
Die Infrastruktur AWS für die Schlüsselverwaltung verwendet von den Federal Information Processing Standards (FIPS) 140-3 zugelassene kryptografische Algorithmen. Die Infrastruktur entspricht den Empfehlungen der National Institute of Standards and Technology (NIST) 800-57.
Wenn Sie mit der Amazon EFS-Konsole ein Dateisystem erstellen, ist die Verschlüsselung im Ruhezustand standardmäßig aktiviert. Wenn Sie die AWS CLI API oder SDKs zum Erstellen eines Dateisystems verwenden, müssen Sie die Verschlüsselung ausdrücklich aktivieren.
Nachdem Sie ein EFS-Dateisystem erstellt haben, können Sie dessen Verschlüsselungseinstellung nicht ändern. Das bedeutet, dass Sie ein unverschlüsseltes Dateisystem nicht so ändern können, dass es verschlüsselt wird. [Replizieren Sie stattdessen das Dateisystem](efs-replication.md), um Daten aus dem unverschlüsselten Dateisystem in ein neues verschlüsseltes Dateisystem zu kopieren. Weitere Informationen finden Sie unter [Wie aktiviere ich die Verschlüsselung im Ruhezustand für ein vorhandenes EFS-Dateisystem?](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)
## Funktionsweise der Verschlüsselung im Ruhezustand
In einem verschlüsselten Dateisystem werden Daten und Metadaten standardmäßig verschlüsselt, bevor sie in den Speicher geschrieben werden, und beim Lesen automatisch entschlüsselt. Diese Prozesse werden von Amazon EFS transparent abgewickelt, sodass Sie Ihre Anwendungen nicht ändern müssen.
Amazon EFS verwendet AWS KMS für die Schlüsselverwaltung Folgendes:
+ **Verschlüsselung von Dateidaten** — Der Inhalt Ihrer Dateien wird mit dem von Ihnen angegebenen KMS-Schlüssel verschlüsselt. Dies kann entweder sein:
+ Die Standardoption AWS-eigener Schlüssel für Amazon EFS (`aws/elasticfilesystem`), keine zusätzlichen Gebühren.
+ Ein vom Kunden verwalteter Schlüssel, den Sie erstellen und verwalten — Bietet zusätzliche Kontroll- und Prüffunktionen.
+ **Metadatenverschlüsselung** — Dateinamen, Verzeichnisnamen und Verzeichnisinhalte werden mit einem Schlüssel verschlüsselt, den Amazon EFS intern verwaltet.
### Verschlüsselungsprozess
Wenn ein Dateisystem erstellt oder in ein Dateisystem desselben Kontos repliziert wird, verwendet Amazon EFS eine [Forward Access Session (FAS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html), um KMS-Aufrufe mit den Anmeldeinformationen des Anrufers durchzuführen. In den CloudTrail Protokollen scheint der `kms:CreateGrant` Anruf von derselben Benutzeridentität getätigt worden zu sein, mit der das Dateisystem oder die Replikation erstellt wurde. Sie können eingegangene Amazon EFS-Serviceanrufe identifizieren, CloudTrail indem Sie nach dem `invokedBy` Feld mit dem Wert suchen`elasticfilesystem.amazonaws.com`. Die Ressourcenrichtlinie für den KMS-Schlüssel muss die `CreateGrant` Aktion zulassen, damit FAS den Anruf tätigen kann.
**Wichtig**
Sie haben die Kontrolle über den Zuschuss und können ihn jederzeit widerrufen. Durch den Widerruf der Gewährung kann Amazon EFS nicht mehr auf den KMS-Schlüssel für future Operationen zugreifen. *Weitere Informationen finden Sie unter [Zuschüsse zurückziehen und widerrufen im Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html).AWS Key Management Service * .
Bei der Verwendung von kundenverwalteten KMS-Schlüsseln muss die Ressourcenrichtlinie auch den Amazon EFS-Service Principal zulassen und die `kms:ViaService` Bedingung enthalten, den Zugriff auf den jeweiligen Service-Endpunkt einzuschränken. Beispiel:
```
"kms:ViaService":
"elasticfilesystem.us-east-2.amazonaws.com"
```
Amazon EFS verwendet den branchenüblichen AES-256-Verschlüsselungsalgorithmus, um Daten und Metadaten im Ruhezustand zu verschlüsseln.
Weitere Informationen zu KMS-Schlüsselrichtlinien für Amazon EFS finden Sie unter[AWS KMS Schlüssel für Amazon EFS verwenden](EFSKMS.md).
## Erzwingen der Verschlüsselung im Ruhezustand für neue Dateisysteme
Sie können den `elasticfilesystem:Encrypted` IAM-Bedingungsschlüssel in AWS Identity and Access Management (IAM-) identitätsbasierten Richtlinien verwenden, um die Erstellung im Ruhezustand zu erzwingen, wenn Benutzer EFS-Dateisysteme erstellen. Weitere Informationen zum Verwenden des Bedingungsschlüssels finden Sie unter [Beispiel: Erzwingen der Erstellung verschlüsselter Dateisysteme](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest).
Sie können auch interne Service-Kontrollrichtlinien (SCPs) definieren AWS Organizations , um die Amazon EFS-Verschlüsselung für alle AWS-Konten in Ihrer Organisation durchzusetzen. Weitere Informationen zu den Richtlinien zur Servicesteuerung finden Sie unter [Servicesteuerungsrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp) im *AWS Organizations Benutzerhandbuch*. AWS Organizations
# Verschlüsseln von Daten während der Übertragung
Amazon EFS unterstützt die Verschlüsselung von Daten während der Übertragung mit Transport Layer Security (TLS). Wenn die Verschlüsselung von Daten während der Übertragung als Mount-Option für Ihr EFS-Dateisystem deklariert ist, stellt Amazon EFS beim Mounten Ihres Dateisystems eine sichere TLS-Verbindung mit Ihrem EFS-Dateisystem her. Der gesamte NFS-Verkehr wird über diese verschlüsselte Verbindung geleitet.
## Funktionsweise der Verschlüsselung während der Übertragung
Wir empfehlen die Verwendung der EFS-Mountinghilfe zum Mounten Ihres Dateisystems, da sie den Einhängevorgang im Vergleich zum Einhängen mit NFS `mount` vereinfacht. Der EFS-Mount-Helper verwaltet den Prozess, indem er entweder efs-proxy (für efs-utils Version 2.0.0 und höher) oder stunnel (für frühere Versionen von efs-utils) verwendet, um eine sichere TLS-Verbindung mit Ihrem EFS-Dateisystem herzustellen.
Sie können die Datenverschlüsselung während der Übertragung aber auch ohne die Mountinghilfe aktivieren. Im Folgenden finden Sie die dafür erforderlichen Schritte.
**Um die Verschlüsselung von Daten während der Übertragung zu aktivieren, ohne den Mount Helper zu verwenden**
1. Laden Sie `stunnel` herunter und installieren Sie es, und notieren Sie sich den Port, auf dem die Anwendung lauscht. Weitere Informationen finden Sie unter [Upgraden von `stunnel`](upgrading-stunnel.md).
1. Führen Sie `stunnel` den Befehl aus, um mithilfe von TLS eine Verbindung zu Ihrem EFS-Dateisystem auf Port 2049 herzustellen.
1. Mounten Sie mithilfe des NFS-Clients `localhost:port`, wobei `port` der Port ist, den Sie sich im ersten Schritt notiert haben.
Da die Verschlüsselung von Daten während der Übertragung für jede einzelne Verbindung konfiguriert wird, läuft für jede konfigurierte Verbindung ein eigener `stunnel`-Vorgang auf der Instance. Standardmäßig überwacht der vom Mount Helper verwendete Stunnel-Prozess einen lokalen Port zwischen 20049 und 20449 und stellt auf Port 2049 eine Verbindung zu Amazon EFS her.
**Anmerkung**
Wenn der EFS-Mount-Helper mit TLS verwendet wird, erzwingt er standardmäßig die Verwendung des Online Certificate Status Protocol (OCSP) und die Überprüfung von Zertifikats-Hostnamen. Der EFS-Mount-Helper verwendet das Stunnel-Programm für seine TLS-Funktionalität. In manchen Linux-Versionen ist keine Stunnel-Version enthalten, die diese TLS-Features standardmäßig unterstützt. Wenn Sie eine dieser Linux-Versionen verwenden, schlägt das Mounten eines EFS-Dateisystems mithilfe von TLS fehl.
Wenn Sie das amazon-efs-utils Paket installiert haben, erfahren Sie unter[Upgraden von `stunnel`](upgrading-stunnel.md), wie Sie die Version von stunnel auf Ihrem System aktualisieren.
Informationen zu Problemen mit der Verschlüsselung finden Sie unter [Fehlerbehebung bei der Verschlüsselung](troubleshooting-efs-encryption.md).
Wenn Sie Datenverschlüsselung während der Übertragung verwenden, ändert sich die Einrichtung des NFS-Clients. Wenn Sie Ihre aktiv gemounteten Dateisysteme untersuchen, sehen Sie eines, das an 127.0.0.1 oder `localhost` gemountet ist, wie im folgenden Beispiel.
```
$ mount | column -t
127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
```
Beim Mounten mit TLS und dem EFS-Mount-Helper konfigurieren Sie Ihren NFS-Client neu, sodass er an einem lokalen Port gemountet wird. Die EFS-Mountinghilfe startet einen Client-Vorgang `stunnel`, der auf diesem lokalen Port lauscht, und `stunnel` öffnet eine verschlüsselte Verbindung zum EFS-Dateisystem über TLS. Die EFS-Mountinghilfe ist für die Einrichtung und Pflege dieser verschlüsselten Verbindung und der zugehörigen Konfiguration zuständig.
Um festzustellen, welche Amazon-EFS-Dateisystem-ID zu welchem lokalen Mounting-Punkt gehört, können Sie den folgenden Befehl verwenden. Denken Sie daran, es *efs-mount-point* durch den lokalen Pfad zu ersetzen, in dem Sie Ihr Dateisystem bereitgestellt haben.
```
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
```
Wenn Sie den EFS-Mount-Helper für die Verschlüsselung von Daten während der Übertragung verwenden, erstellt er auch einen Prozess namens`amazon-efs-mount-watchdog`. Dieser Prozess stellt sicher, dass der Stunnel-Prozess jedes Mounts ausgeführt wird, und stoppt den Stunnel, wenn das EFS-Dateisystem unmountet wird. Wenn der Stunnel-Vorgang aus irgendeinem Grund unerwartet beendet wird, wird er vom Watchdog-Vorgang neu gestartet.
# AWS KMS Schlüssel für Amazon EFS verwenden
Amazon EFS ist für die Schlüsselverwaltung in AWS Key Management Service (AWS KMS) integriert. Amazon EFS verwendet vom Kunden verwaltete Schlüssel, um Ihr Dateisystem auf folgende Weise zu verschlüsseln:
+ **Verschlüsselung von Metadaten im Ruhezustand** – Amazon EFS verwendet das Von AWS verwalteter Schlüssel für Amazon EFS, `aws/elasticfilesystem`, um Metadaten des Dateisystems (d.h. Dateinamen, Verzeichnisnamen und Verzeichnisinhalte) zu ver- und entschlüsseln.
+ **Verschlüsselung von Dateidaten im Ruhezustand** – Sie wählen den vom Kunden verwalteten Schlüssel (CMK), der zur Ver- und Entschlüsselung von Dateidaten (d. h. dem Inhalt Ihrer Dateien) verwendet wird. Sie können Berechtigungen für diesen vom Kunden verwalteten Schlüssel (CMK) aktivieren, deaktivieren oder widerrufen. Dieser von Kunden gemanagte Schlüssel kann einer der beiden folgenden Typen sein:
+ **Von AWS verwalteter Schlüssel für Amazon EFS** — Dies ist der vom Kunden verwaltete Standardschlüssel,`aws/elasticfilesystem`. Für die Erstellung und Speicherung eines von Kunden gemanagten Schlüssels fallen keine Gebühren an, aber es fallen Nutzungsgebühren an. Weitere Informationen finden Sie auf der Seite über [AWS Key Management Service – Preise](https://aws.amazon.com/kms/pricing/).
+ **Kundenverwalteter Schlüssel** – Dies ist der flexibelste KMS-Schlüssel, da Sie seine Schlüsselrichtlinien und Berechtigungen für mehrere Benutzer oder Dienste konfigurieren können. Weitere Informationen zum Erstellen von kundenverwalteten Schlüsseln finden Sie unter [Creating Keys](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service Developer Guide.*
Wenn Sie einen vom Kunden verwalteten Schlüssel (CMK) für die Ver- und Entschlüsselung von Dateidaten verwenden, können Sie die Schlüsselrotation aktivieren. Wenn Sie die Schlüsselrotation aktivieren, AWS KMS wird Ihr Schlüssel automatisch einmal pro Jahr rotiert. Darüber hinaus können Sie bei einem vom Kunden verwalteten Schlüssel (CMK) jederzeit entscheiden, wann Sie den Zugriff auf Ihren vom Kunden verwalteten Schlüssel deaktivieren, wieder aktivieren, löschen oder widerrufen möchten. Weitere Informationen finden Sie unter [AWS KMS Schlüssel für Amazon EFS verwenden](#EFSKMS).
**Wichtig**
Amazon EFS akzeptiert nur symmetrische, vom Kunden verwaltete Schlüssel. Sie können keine asymmetrischen, vom Kunden verwalteten Schlüssel (CMK) mit Amazon EFS verwenden.
Die Datenverschlüsselung und -entschlüsselung im Ruhezustand erfolgt transparent. Amazon IDs EFS-spezifische AWS Konten erscheinen jedoch in Ihren AWS CloudTrail Protokollen, die sich auf AWS KMS Aktionen beziehen. Weitere Informationen finden Sie unter [Amazon EFS-Protokolldateieinträge für encrypted-at-rest Dateisysteme](logging-using-cloudtrail.md#efs-encryption-cloudtrail).
## Die wichtigsten Richtlinien von Amazon EFS für AWS KMS
Schlüsselrichtlinien sind die wichtigste Methode zur Kontrolle des Zugriffs auf vom Kunden verwaltete Schlüssel. Weitere Informationen zu Schlüsselrichtlinien finden Sie unter [Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *AWS Key Management Service -Entwicklerhandbuch*. Die folgende Liste beschreibt alle AWS KMS-bezogenen Berechtigungen, die von Amazon EFS für verschlüsselte Dateisysteme im Ruhezustand benötigt oder anderweitig unterstützt werden:
+ **kms:Encrypt** – (Optional) Verschlüsselt Klartext in Geheimtext. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms:Decrypt** – (Erforderlich) Entschlüsselt Geheimtext. Geheimtext ist Klartext, der zuvor verschlüsselt wurde. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: ReEncrypt** — (Optional) Verschlüsselt Daten auf der Serverseite mit einem neuen, vom Kunden verwalteten Schlüssel, ohne dass der Klartext der Daten auf der Clientseite offengelegt wird. Die Daten werden zuerst entschlüsselt und dann neu verschlüsselt. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Erforderlich) Gibt einen Datenverschlüsselungsschlüssel zurück, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde. Diese Berechtigung ist in der Standardschlüsselrichtlinie unter **kms: GenerateDataKey \$1** enthalten.
+ **kms: CreateGrant** — (Erforderlich) Fügt einem Schlüssel einen Zuschuss hinzu, um anzugeben, wer den Schlüssel verwenden kann und unter welchen Bedingungen. Erteilungen sind eine alternative Berechtigungsmethode zu Schlüsselrichtlinien. Weitere Informationen zu Zuschüssen finden Sie unter [Grants AWS KMS im AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) *Developer Guide.* Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: DescribeKey** — (Erforderlich) Stellt detaillierte Informationen zum angegebenen vom Kunden verwalteten Schlüssel bereit. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
+ **kms: ListAliases** — (Optional) Listet alle Schlüsselaliase im Konto auf. Wenn Sie die Konsole verwenden, um ein verschlüsseltes Dateisystem zu erstellen, wird mit dieser Berechtigung die Liste **KMS-Schlüssel auswählen** ausgefüllt. Wir empfehlen für eine optimale Benutzererfahrung diese Berechtigung. Diese Berechtigung ist in der Standard-Schlüsselrichtlinie enthalten.
### Von AWS verwalteter Schlüssel für die Amazon EFS KMS-Richtlinie
Die KMS-Richtlinie JSON Von AWS verwalteter Schlüssel für Amazon EFS `aws/elasticfilesystem` lautet wie folgt:
```
{
"Version": "2012-10-17",
"Id": "auto-elasticfilesystem-1",
"Statement": [
{
"Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
"kms:CallerAccount": "111122223333"
}
}
},
{
"Sid": "Allow direct access to key metadata to the account",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"kms:Describe*",
"kms:Get*",
"kms:List*",
"kms:RevokeGrant"
],
"Resource": "*"
}
]
}
```
## Die wichtigsten Staaten und ihre Auswirkungen
Der Status Ihres KMS-Schlüssels wirkt sich direkt auf den Zugriff auf Ihr verschlüsseltes Dateisystem aus:
Aktiviert
Normaler Betrieb — voller Lese- und Schreibzugriff auf das Dateisystem
Disabled
Auf das Dateisystem kann nach einer kurzen Zeit nicht mehr zugegriffen werden. Kann wieder aktiviert werden.
Löschen ausstehend
Auf das Dateisystem kann nicht mehr zugegriffen werden. Das Löschen kann während der Wartezeit abgebrochen werden.
Gelöscht
Auf das Dateisystem kann dauerhaft nicht zugegriffen werden. Diese Aktion kann nicht rückgängig gemacht werden.
**Warnung**
Wenn Sie den für Ihr Dateisystem verwendeten KMS-Schlüssel deaktivieren oder löschen oder Amazon EFS den Zugriff auf den Schlüssel entziehen, kann nicht mehr auf Ihr Dateisystem zugegriffen werden. Dies kann zu Datenverlust führen, wenn Sie keine Backups haben. Stellen Sie immer sicher, dass Sie über die richtigen Backup-Verfahren verfügen, bevor Sie Änderungen an den Verschlüsselungsschlüsseln vornehmen.
# Fehlerbehebung bei der Verschlüsselung
**Topics**
+ [Mounting mit Verschlüsselung der Daten während der Übertragung schlägt fehl](#mounting-tls-fails)
+ [Mounting mit Verschlüsselung der Daten während der Übertragung wird unterbrochen](#mounting-tls-interrupt)
+ [Encrypted-at-rest Das Dateisystem kann nicht erstellt werden](#unable-to-encrypt)
+ [Nicht verwendbares verschlüsseltes Dateisystem](#unusable-encrypt)
## Mounting mit Verschlüsselung der Daten während der Übertragung schlägt fehl
Wenn Sie die Amazon-EFS-Mountinghilfe mit Transport Layer Security (TLS) verwenden, erzwingt sie standardmäßig eine Hostnamenprüfung. Einige Systeme unterstützen diese Funktion nicht, beispielsweise, wenn Sie Red Hat Enterprise Linux oder CentOS verwenden. In solchen Fällen schlägt das Mounten eines EFS-Dateisystems mit TLS fehl.
**Maßnahme**
Wir empfehlen ein Upgrade der Stunnel-Version auf Ihrem Client, um die Überprüfung des Hostnamens zu unterstützen. Weitere Informationen finden Sie unter [Upgraden von `stunnel`](upgrading-stunnel.md).
## Mounting mit Verschlüsselung der Daten während der Übertragung wird unterbrochen
Es ist möglich, wenn auch unwahrscheinlich, dass Ihre verschlüsselte Verbindung zu Ihrem Amazon-EFS-Dateisystem durch clientseitige Ereignisse hängen bleibt oder unterbrochen wird.
**Maßnahme**
Wenn Ihre Verbindung zu Ihrem Amazon-EFS-Dateisystem mit Verschlüsselung der Daten während der Übertragung unterbrochen wird, führen Sie die folgenden Schritte aus:
1. Stellen Sie sicher, dass der Stunnel-Service auf dem Client ausgeführt wird.
1. Vergewissern Sie sich, dass die Watchdog-Anwendung `amazon-efs-mount-watchdog` auf dem Client ausgeführt wird. Sie können mit dem folgenden Befehl herausfinden, ob diese Anwendung ausgeführt wird:
```
ps aux | grep [a]mazon-efs-mount-watchdog
```
1. Überprüfen Sie Ihre Support-Protokolle. Weitere Informationen finden Sie unter [Abrufen von Support-Protokollen](mount-helper-logs.md).
1. Optional können Sie Ihre Stunnel-Protokolle aktivieren und auch dort die Informationen prüfen. Sie können die Konfiguration Ihrer Protokolle unter `/etc/amazon/efs/efs-utils.conf` ändern, um die Stunnel-Protokolle zu aktivieren. Hierfür müssen Sie das Dateisystem jedoch mit der Mountinghilfe ausbinden und erneut mounten, um die Änderungen zu übernehmen.
**Wichtig**
Die Aktivierung der Stunnel-Protokolle kann erheblichen Speicherplatz auf Ihrem Dateisystem beanspruchen.
Wenn die Unterbrechungen weiterhin bestehen, wenden Sie sich an den AWS Support.
## Encrypted-at-rest Das Dateisystem kann nicht erstellt werden
Sie haben versucht, ein neues encrypted-at-rest Dateisystem zu erstellen. Sie erhalten jedoch eine Fehlermeldung, dass das Produkt nicht verfügbar AWS KMS ist.
**Maßnahme**
Dieser Fehler kann in dem seltenen Fall auftreten, dass AWS KMS er in Ihrem vorübergehend nicht verfügbar ist AWS-Region. Warten Sie in diesem Fall, bis AWS KMS die volle Verfügbarkeit wiederhergestellt ist, und versuchen Sie dann erneut, das Dateisystem zu erstellen.
## Nicht verwendbares verschlüsseltes Dateisystem
Ein verschlüsseltes Dateisystem gibt ständig NFS-Serverfehler zurück. Diese Fehler können auftreten, wenn EFS Ihren Masterschlüssel aus AWS KMS einem der folgenden Gründe nicht abrufen kann:
+ Der Schlüssel wurde deaktiviert.
+ Der Schlüssel wurde gelöscht.
+ Die Erlaubnis für Amazon EFS, den Schlüssel zu verwenden, wurde widerrufen.
+ AWS KMS ist vorübergehend nicht verfügbar.
**Maßnahme**
Vergewissern Sie sich zunächst, dass der AWS KMS Schlüssel aktiviert ist. Zeigen Sie sich dazu die Schlüssel in der Konsole an. Weitere Informationen finden Sie unter [Schlüssel anzeigen](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn der Schlüssel nicht aktiviert ist, aktivieren Sie ihn. Weitere Informationen finden Sie unter [Aktivieren und Deaktivieren von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn der Schlüssel zur Löschung ansteht, wird er durch diesen Status deaktiviert. Sie können die Löschung eines Schlüssels abbrechen und den Schlüssel erneut aktivieren. Weitere Informationen finden Sie unter [Planen und Abbrechen des Löschens von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion) im *AWS Key Management Service -Entwicklerhandbuch*.
Wenn der Schlüssel aktiviert ist und Sie immer noch ein Problem haben oder wenn bei der erneuten Aktivierung Ihres Schlüssels ein Problem auftritt, wenden Sie sich an den AWS Support.