Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengenkripsi data dalam perjalanan
Amazon EFS mendukung enkripsi data dalam perjalanan dengan Transport Layer Security (TLS). Saat enkripsi data dalam perjalanan dinyatakan sebagai opsi pemasangan untuk sistem file EFS Anda, Amazon EFS membuat koneksi TLS yang aman dengan sistem file EFS Anda saat memasang sistem file Anda. Semua lalu lintas NFS dirutekan melalui koneksi terenkripsi ini.
Cara kerja enkripsi dalam perjalanan
Sebaiknya gunakan EFS mount helper untuk memasang sistem file Anda karena menyederhanakan proses pemasangan dibandingkan dengan pemasangan dengan NFS. mount EFS mount helper mengelola proses dengan menggunakan efs-proxy (untuk efs-utils versi 2.0.0 dan yang lebih baru) atau stunnel (untuk efs-utils versi sebelumnya) untuk membuat koneksi TLS aman dengan sistem file EFS Anda.
Jika Anda tidak menggunakan mount helper, Anda masih dapat mengaktifkan enkripsi data dalam perjalanan. Berikut ini adalah langkah-langkah untuk melakukannya.
Untuk mengaktifkan enkripsi data dalam perjalanan tanpa menggunakan mount helper
-
Unduh dan instal
stunnel, dan catat port yang sedang didengarkan aplikasi. Untuk informasi selengkapnya, lihat Upgrade stunnel. -
Jalankan
stunneluntuk terhubung ke sistem file EFS Anda di port 2049 menggunakan TLS. -
Menggunakan klien NFS, mount
localhost:, diportport
Karena enkripsi data dalam transit dikonfigurasi berdasarkan per-koneksi, setiap mount yang dikonfigurasi memiliki stunnel proses khusus yang berjalan pada instance. Secara default, proses stunnel yang digunakan oleh mount helper mendengarkan pada port lokal antara 20049 dan 20449, dan terhubung ke Amazon EFS pada port 2049.
catatan
Secara default, saat menggunakan EFS mount helper dengan TLS, ini memberlakukan penggunaan Online Certificate Status Protocol (OCSP) dan pemeriksaan nama host sertifikat. EFS mount helper menggunakan program stunnel untuk fungsionalitas TLS-nya. Beberapa versi Linux tidak menyertakan versi stunnel yang mendukung fitur TLS ini secara default. Saat menggunakan salah satu versi Linux tersebut, pemasangan sistem file EFS menggunakan TLS gagal.
Setelah Anda menginstal amazon-efs-utils paket, untuk meningkatkan versi stunnel sistem Anda, lihatUpgrade stunnel.
Untuk masalah dengan enkripsi, lihatEnkripsi pemecahan masalah.
Saat menggunakan enkripsi data dalam perjalanan, pengaturan klien NFS Anda diubah. Saat Anda memeriksa sistem file yang dipasang secara aktif, Anda melihat satu dipasang ke 127.0.0.1, ataulocalhost, seperti pada contoh berikut.
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Saat memasang dengan TLS dan EFS mount helper, Anda mengonfigurasi ulang klien NFS Anda untuk dipasang ke port lokal. EFS mount helper memulai stunnel proses klien yang mendengarkan di port lokal ini, dan stunnel membuka koneksi terenkripsi ke sistem file EFS menggunakan TLS. EFS mount helper bertanggung jawab untuk menyiapkan dan memelihara koneksi terenkripsi ini dan konfigurasi terkait.
Untuk menentukan ID sistem file Amazon EFS mana yang sesuai dengan titik pemasangan lokal mana, Anda dapat menggunakan perintah berikut. Ingatlah untuk mengganti efs-mount-point dengan jalur lokal tempat Anda memasang sistem file Anda.
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Saat Anda menggunakan EFS mount helper untuk enkripsi data dalam perjalanan, itu juga membuat proses yang disebutamazon-efs-mount-watchdog. Proses ini memastikan bahwa setiap proses stunnel mount berjalan, dan menghentikan stunnel saat sistem file EFS dilepas. Jika karena alasan tertentu proses stunnel dihentikan secara tak terduga, proses pengawas memulai ulang.
