Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
chiffrement des données en transit
Amazon EFS prend en charge le chiffrement des données en transit grâce au protocole TLS (Transport Layer Security). Lorsque le chiffrement des données en transit est déclaré comme option de montage pour votre système de fichiers EFS, Amazon EFS établit une connexion TLS sécurisée avec votre système de fichiers EFS lors du montage de votre système de fichiers. Tout le trafic NFS est acheminé via cette connexion cryptée.
Comment fonctionne le chiffrement des données en transit ?
Nous vous recommandons d’utiliser l’assistant de montage EFS pour monter votre système de fichiers, car il simplifie le processus de montage par rapport au montage avec le NFS mount. L'assistant de montage EFS gère le processus en utilisant efs-proxy (pour efs-utils version 2.0.0 et versions ultérieures) ou stunnel (pour les versions antérieures d'efs-utils) pour établir une connexion TLS sécurisée avec votre système de fichiers EFS.
Vous pouvez tout de même activer le chiffrement des données en transit sans utiliser l’assistant de montage. Voici les étapes à suivre pour ce faire.
Pour activer le chiffrement des données en transit sans utiliser l'assistant de montage
-
Téléchargez et installez
stunnel, et notez le port sur lequel l’application est à l’écoute. Pour de plus amples informations, veuillez consulter Mise à niveau d’stunnel. -
Exécutez
stunnelpour vous connecter à votre système de fichiers EFS sur le port 2049 à l'aide du protocole TLS. -
En utilisant le client NFS, montez
localhost:, oùportport
Étant donné que le chiffrement des données en transit est configuré en mode par connexion, chaque montage configuré possède un processus stunnel dédié s’exécutant sur l’instance. Par défaut, le processus Stunnel utilisé par l'assistant de montage écoute sur un port local entre 20049 et 20449, et il se connecte à Amazon EFS sur le port 2049.
Note
Par défaut, lorsque vous utilisez l'assistant de montage EFS avec TLS, il impose l'utilisation du protocole OCSP (Online Certificate Status Protocol) et de la vérification du nom d'hôte du certificat. L'assistant de montage EFS utilise le programme Stunnel pour ses fonctionnalités TLS. Certaines versions de Linux n’incluent pas une version de stunnel prenant en charge ces fonctionnalités TLS par défaut. Lorsque vous utilisez l'une de ces versions de Linux, le montage d'un système de fichiers EFS à l'aide du protocole TLS échoue.
Après avoir installé le amazon-efs-utils package, pour mettre à niveau la version de Stunnel de votre système, consultezMise à niveau d’stunnel.
Pour tout problème lié au chiffrement, consultez Résolution des problèmes de chiffrement.
Lorsque vous utilisez le chiffrement des données en transit, la configuration du client NFS est modifiée. Lorsque vous examinez vos systèmes de fichiers montés, vous en voyez un monté sur 127.0.0.1, ou localhost, comme dans l’exemple suivant :
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Lors du montage avec TLS et l'assistant de montage EFS, vous reconfigurez votre client NFS pour le monter sur un port local. L’assistant de montage démarre un processus client stunnel qui est à l’écoute de ce port local et stunnel ouvre une connexion chiffrée avec EFS à l’aide du protocole TLS. L’assistant de montage EFS est responsable de la configuration et de la gestion de cette connexion chiffrée et de la configuration associée.
Pour connaître l’ID du système de fichiers Amazon EFS correspondant au point de montage local, vous pouvez utiliser la commande suivante. N'oubliez pas de le efs-mount-point remplacer par le chemin local sur lequel vous avez monté votre système de fichiers.
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Lorsque vous utilisez l'assistant de montage EFS pour le chiffrement des données en transit, il crée également un processus appeléamazon-efs-mount-watchdog. Ce processus garantit que le processus Stunnel de chaque montage est en cours d'exécution et arrête le Stunnel lorsque le système de fichiers EFS est démonté. Si, pour une raison quelconque, un processus stunnel est interrompu de manière inattendue, le processus de surveillance le redémarre.
