Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia dei dati in transito
Amazon EFS supporta la crittografia dei dati in transito con Transport Layer Security (TLS). Quando la crittografia dei dati in transito viene dichiarata come opzione di montaggio per il file system EFS, Amazon EFS stabilisce una connessione TLS sicura con il file system EFS al momento del montaggio del file system. Tutto il traffico NFS viene instradato attraverso questa connessione crittografata.
Come funziona la crittografia dei dati in transito
Si consiglia di utilizzare l'helper di montaggio EFS per montare il file system perché semplifica il processo di montaggio rispetto al montaggio con NFS mount. L'EFS mount helper gestisce il processo utilizzando efs-proxy (per efs-utils versione 2.0.0 e successive) o stunnel (per le versioni precedenti di efs-utils) per stabilire una connessione TLS sicura con il file system EFS.
Se non si utilizza l'helper di montaggio, è comunque possibile abilitare la crittografia dei dati in transito. Di seguito sono riportati i passaggi per eseguire questa operazione.
Per abilitare la crittografia dei dati in transito senza utilizzare il mount helper
-
Scaricare e installare
stunnele annotare la porta che sulla quale si pone in ascolto l'applicazione. Per ulteriori informazioni, consulta Aggiornamento di stunnel. -
Esegui
stunnelper connetterti al tuo file system EFS sulla porta 2049 utilizzando TLS. -
Utilizzando il client NFS, montare
localhost:, doveportport
Poiché la crittografia dei dati in transito viene configurata su base connessione, a ogni montaggio configurato deve a corrispondere un processo stunnel dedicato in esecuzione sull'istanza. Per impostazione predefinita, il processo stunnel utilizzato dal mount helper ascolta su una porta locale tra 20049 e 20449 e si connette ad Amazon EFS sulla porta 2049.
Nota
Per impostazione predefinita, quando si utilizza l'helper di montaggio EFS con TLS, impone l'uso dell'Online Certificate Status Protocol (OCSP) e il controllo del nome host del certificato. L'helper di montaggio EFS utilizza il programma stunnel per la sua funzionalità TLS. Alcune versioni di Linux non includono una versione di stunnel che supporta queste funzionalità di TLS per impostazione predefinita. Quando si utilizza una di queste versioni di Linux, il montaggio di un file system EFS tramite TLS non riesce.
Dopo aver installato il amazon-efs-utils pacchetto, per aggiornare la versione di stunnel del sistema, consulta. Aggiornamento di stunnel
Per problemi relativi alla crittografia, consultare Risoluzione dei problemi di crittografia.
Quando si utilizza la crittografia dei dati in transito, la configurazione del client NFS viene modificata. Quando si ispezionano i tuoi file system montati, se ne vede uno montato all'indirizzo 127.0.0.1 o localhost, come nell'esempio seguente.
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Quando si esegue il montaggio con TLS e EFS mount helper, si riconfigura il client NFS per il montaggio su una porta locale. L'helper di montaggio EFS avvia un processo client stunnel che rimane in ascolto su questa porta locale, e stunnel apre una connessione crittografata verso EFS usando TLS. L'helper di montaggio di EFS è responsabile per la configurazione e la manutenzione di questa connessione crittografata e della relativa configurazione.
Per determinare quale ID del file system Amazon EFS corrisponde a quale punto di montaggio locale, è possibile utilizzare il comando seguente. Ricordati di sostituirlo efs-mount-point con il percorso locale in cui hai montato il file system.
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Quando si utilizza l'helper di montaggio EFS per la crittografia dei dati in transito, viene creato anche un processo chiamatoamazon-efs-mount-watchdog. Questo processo assicura che il processo di stunnel di ogni montaggio sia in esecuzione e interrompe lo stunnel quando il file system EFS viene smontato. Se per qualsiasi motivo un processo stunnel si arresta in modo inatteso, il processo watchdog lo riavvia.
