Encrypting data in transit - Amazon Elastic File System
転送中の暗号化の動作

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Encrypting data in transit

Amazon EFS は、Transport Layer Security (TLS) による転送中のデータの暗号化をサポートしています。転送中のデータの暗号化が EFS ファイルシステムのマウントオプションとして宣言されると、Amazon EFS はファイルシステムのマウント時に EFS ファイルシステムとの安全な TLS 接続を確立します。すべての NFS トラフィックは、この暗号化された接続を介してルーティングされます。

転送中の暗号化の動作

EFS マウントヘルパーを使用してファイルシステムをマウントすることをお勧めします。これは、NFS mount でマウントする場合と比べてマウントプロセスを簡略化できるためです。EFS マウントヘルパーは、efs-proxy (efs-utils バージョン 2.0.0 以降) または stunnel (efs-utils 以前のバージョン) を使用してEFS ファイルシステムとの安全な TLS 接続を確立することで、プロセスを管理します。

マウントヘルパーを使用していない場合でも、転送中のデータの暗号化を有効にすることができます。これを行うステップを次に示します。

マウントヘルパーを使用せずに転送中のデータの暗号化を有効にするには

  1. stunnel をダウンロードしてインストールし、アプリケーションがリッスンするポートを書き留めます。詳細については、「stunnel のアップグレード」を参照してください。

  2. stunnel を実行して、TLS を使用してポート 2049 の EFS ファイルシステムに接続します。

  3. NFS クライアントを使用して、最初のステップで書き留めたポート localhost:port に、port をマウントします。

接続ごとに転送中のデータ暗号化が設定されているため、設定された各マウントにはインスタンスで実行される専用の stunnel プロセスがあります。デフォルトでは、マウントヘルパーが使用する stunnel プロセスは 20049 から 20449 までのローカルポートをリッスンし、ポート 2049 で Amazon EFS に接続します。

注記

デフォルトでは、TLS で EFS マウントヘルパーを使用する場合、オンライン証明書ステータスプロトコル (OCSP) と証明書ホスト名チェックが使用されます。EFS マウントヘルパーは、TLS 機能に stunnel プログラムを使用します。Linux のバージョンによっては、これらの TLS 機能をサポートする stunnel のバージョンがデフォルトで含まれていない場合があります。このような Linux バージョンのいずれかを使用している場合は、TLS を使用した EFS ファイルシステムのマウントに失敗します。

amazon-efs-utils パッケージのインストール後に、システムの stunnel のバージョンをアップグレードするには、stunnel のアップグレード を参照してください。

暗号化の問題については、「暗号化のトラブルシューティング」を参照してください。

転送中のデータの暗号化を使用する場合、NFS クライアント設定が変更されます。アクティブにマウントされたファイルシステムを検査する場合、次の例に示すように、127.0.0.1 または localhost にマウントされたことが表示されます。

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

TLS と EFS マウントヘルパーを使用してマウントする場合、ローカルポートにマウントするように NFS クライアントを再設定します。EFS マウントヘルパーは、このローカルポートをリッスンするクライアント stunnel プロセスを開始し、stunnel は TLS を使用して、EFS ファイルシステムへの暗号化された接続を開きます。EFS マウントヘルパーは、この暗号化された接続と関連する設定をセットアップして維持します。

ローカルマウントポイントに対応する Amazon EFS ファイルシステム ID を確認するために、次のコマンドを使用できます。efs-mount-point を、ファイルシステムをマウントしたローカルパスに置き換えることを忘れないでください。

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

EFS マウントヘルパーを使用して転送中のデータを暗号化すると、 というプロセスも作成されますamazon-efs-mount-watchdog。このプロセスにより、各マウントの stunnel プロセスが実行され、EFS ファイルシステムがアンマウントされると stunnel が停止します。何らかの理由で、stunnel プロセスが予期せず終了した場合、ウォッチドッグプロセスにより再開されます。