Bewährte Verschlüsselungsmethoden für Amazon EFS - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Verschlüsselungsmethoden für Amazon EFS

Amazon Elastic File System (Amazon EFS) hilft Ihnen bei der Erstellung und Konfiguration gemeinsam genutzter Dateisysteme in der AWS Cloud.

Bedenken Sie die folgenden bewährten Verschlüsselungsmethoden für diesen Service:

  • AWS Config Implementieren Sie in die efs-encrypted-check AWS verwaltete Regel. Diese Regel prüft, ob Amazon EFS so konfiguriert ist, dass die Dateidaten mithilfe von AWS KMS verschlüsselt werden.

  • Erzwingen Sie die Verschlüsselung für Amazon EFS-Dateisysteme, indem Sie einen CloudWatch Amazon-Alarm erstellen, der CloudTrail Protokolle auf CreateFileSystem Ereignisse überwacht und einen Alarm auslöst, wenn ein unverschlüsseltes Dateisystem erstellt wird. Weitere Informationen finden Sie im Durchgang: Erzwingen von Verschlüsselung auf einem Amazon EFS File System im Ruhezustand.

  • Mounten Sie das Dateisystem mithilfe der EFS-Mountinghilfe. Dadurch wird ein TLS 1.2-Tunnel zwischen dem Client und dem Amazon-EFS-Service eingerichtet und verwaltet und der gesamte NFS-Verkehr (Network File System) über diesen verschlüsselten Tunnel weitergeleitet. Der folgende Befehl implementiert die Verwendung von TLS für die Verschlüsselung während der Übertragung.

    sudo mount -t efs  -o tls file-system-id:/ /mnt/efs

    Weitere Informationen finden Sie unter Verwenden der EFS-Mountinghilfe zum Mounten von EFS-Dateisystemen.

  • Implementieren Sie AWS PrivateLink Schnittstellen-VPC-Endpunkte, um eine private Verbindung zwischen VPCs und der Amazon EFS-API herzustellen. Daten während der Übertragung über die VPN-Verbindung zum und vom Endpunkt werden verschlüsselt. Weitere Informationen finden Sie unter Zugriff auf einen AWS-Service über einen Schnittstellen-VPC-Endpunkt.

  • Verwenden Sie die elasticfilesystem:Encrypted-Bedingungsschlüssel in identitätsbasierten IAM-Richtlinien, um zu verhindern, dass Benutzer EFS-Dateisysteme erstellen, die nicht verschlüsselt sind. Weitere Informationen finden Sie unter Verwenden von IAM, um die Erstellung verschlüsselter Dateisysteme zu erzwingen.

  • KMS-Schlüssel, die für die EFS-Verschlüsselung verwendet werden, sollten mithilfe ressourcenbasierter Schlüsselrichtlinien für den Zugriff mit geringsten Berechtigungen konfiguriert werden.

  • Verwenden Sie aws:SecureTransport-Bedingungsschlüssel in der EFS-Dateisystemrichtlinie, um die Verwendung von TLS für NFS-Clients beim Herstellen einer Verbindung zu einem EFS-Dateisystem zu erzwingen. Weitere Informationen finden Sie unter Verschlüsselung von Daten bei der Übertragung in Verschlüsseln von Dateidaten mit Amazon Elastic File System (AWS Whitepaper).