Bonnes pratiques de chiffrement pour Amazon EFS - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de chiffrement pour Amazon EFS

Amazon Elastic File System (Amazon EFS) vous aide à créer et à configurer des systèmes de fichiers partagés dans le AWS Cloud.

Tenez compte des bonnes pratiques de chiffrement suivantes pour ce service :

  • Dans AWS Config, implémentez la règle efs-encrypted-check AWS gérée. Cette règle vérifie si Amazon EFS est configuré pour chiffrer les données du fichier à l'aide AWS KMS de.

  • Appliquez le chiffrement aux systèmes de fichiers Amazon EFS en créant une CloudWatch alarme Amazon qui surveille les CloudTrail journaux pour détecter les CreateFileSystem événements et déclenche une alarme si un système de fichiers non chiffré est créé. Pour plus d'informations, veuillez consulter Walkthrough: Enforcing Encryption on an Amazon EFS File System at Rest.

  • Montez le système de fichiers à l'aide de l'assistant de montage EFS. Cela permet de configurer et de gérer un tunnel TLS 1.2 entre le client et le service Amazon EFS et d'acheminer tout le trafic NFS (Network File System) via ce tunnel chiffré. La commande suivante implémente l'utilisation du protocole TLS pour le chiffrement en transit.

    sudo mount -t efs  -o tls file-system-id:/ /mnt/efs

    Pour plus d'informations, veuillez consulter Using EFS mount helper to mount EFS file systems.

  • En utilisant AWS PrivateLink et en implémentant des points de terminaison VPC d'interface pour établir une connexion privée entre et VPCs l'API Amazon EFS. Les données en transit via la connexion VPN vers et depuis le point de terminaison sont chiffrées. Pour plus d'informations, veuillez consulter Accédez à un Service AWS à l'aide d'un point de terminaison de VPC d'interface.

  • Utilisez la clé de condition elasticfilesystem:Encrypted dans les politiques basées sur l'identité IAM pour empêcher les utilisateurs de créer des systèmes de fichiers EFS non chiffrés. Pour plus d'informations, veuillez consulter Using IAM to enforce creating encrypted file systems.

  • Les clés KMS utilisées pour le chiffrement EFS doivent être configurées pour un accès sur la base du moindre privilège en utilisant des politiques de clé basées sur les ressources.

  • Utilisez la clé de condition aws:SecureTransport dans la politique du système de fichiers EFS pour imposer l'utilisation du protocole TLS pour les clients NFS lors de la connexion à un système de fichiers EFS. Pour plus d'informations, consultez Chiffrement des données en transit dans Encrypting File Data with Amazon Elastic File System (AWS livre blanc).