転送中のデータの暗号化 - Amazon Elastic File System
転送中の暗号化の動作

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

転送中のデータの暗号化

Amazon EFS は、Transport Layer Security (TLS) による転送中のデータの暗号化をサポートしています。転送中のデータの暗号化が EFS ファイルシステムのマウントオプションとして宣言されると、Amazon EFS はファイルシステムのマウント時に EFS ファイルシステムとの安全な TLS 接続を確立します。すべての NFS トラフィックは、この暗号化された接続を介してルーティングされます。

転送中の暗号化の動作

EFS マウントヘルパーを使用してファイルシステムをマウントすることをお勧めします。これは、NFS mount でマウントする場合と比べてマウントプロセスを簡略化できるためです。EFS マウントヘルパーは、efs-proxy (efs-utils バージョン 2.0.0 以降) または stunnel (efs-utils の以前のバージョン) を使用して EFS ファイルシステムとの安全な TLS 接続を確立することでプロセスを管理します。

マウントヘルパーを使用していない場合でも、転送中のデータの暗号化を有効にすることができます。これを行うには、以下の手順に従います。

マウントヘルパーを使用せずに転送中のデータの暗号化を有効にするには

  1. stunnel をダウンロードしてインストールし、アプリケーションがリッスンするポートを書き留めます。詳細については、「stunnel のアップグレード」を参照してください。

  2. stunnel を実行し、TLS を使用して、ポート 2049 で EFS ファイルシステムに接続します。

  3. NFS クライアントを使用して、最初のステップで書き留めたポート localhost:port に、port をマウントします。

接続ごとに転送中のデータ暗号化が設定されているため、設定された各マウントにはインスタンスで実行される専用の stunnel プロセスがあります。デフォルトでは、マウントヘルパーが使用する stunnel プロセスは 20449 から 20049 の間のローカルポートをリッスンし、ポート 2049 で Amazon EFS に接続します。

注記

デフォルトでは、TLS と EFS マウントヘルパーを使用している場合、マウントヘルパーは、オンライン証明書ステータスプロトコル (OCSP) および証明書ホスト名チェックを使用します。EFS マウントヘルパーは、stunnel プログラムを使用して TLS 機能を提供します。Linux のバージョンによっては、これらの TLS 機能をサポートする stunnel のバージョンがデフォルトで含まれていない場合があります。このような Linux バージョンのいずれかを使用している場合は、TLS を使用した EFS ファイルシステムのマウントに失敗します。

amazon-efs-utils パッケージのインストール後に、システムの stunnel のバージョンをアップグレードするには、stunnel のアップグレード を参照してください。

暗号化の問題については、「暗号化のトラブルシューティング」を参照してください。

転送中のデータの暗号化を使用する場合、NFS クライアント設定が変更されます。アクティブにマウントされたファイルシステムを検査する場合、次の例に示すように、127.0.0.1 または localhost にマウントされたことが表示されます。

$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

TLS および EFS マウントヘルパーを使用してマウントする場合、ローカルポートにマウントするために NFS クライアントを再設定します。EFS マウントヘルパーは、このローカルポートをリッスンするクライアント stunnel プロセスを開始し、stunnel は TLS を使用して、EFS ファイルシステムへの暗号化された接続を開きます。EFS マウントヘルパーは、この暗号化された接続と関連する設定をセットアップして維持します。

ローカルマウントポイントに対応する Amazon EFS ファイルシステム ID を確認するために、次のコマンドを使用できます。efs-mount-point を、ファイルシステムをマウントしたローカルパスに置き換えることを忘れないでください。

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

転送中のデータの暗号化に EFS マウントヘルパーを使用する場合は、amazon-efs-mount-watchdog というプロセスも作成されます。このプロセスは、各マウントの stunnel プロセスが実行されているかどうか、EFS ファイルシステムがアンマウントされたときに stunnel が停止されたかどうかを確認します。何らかの理由で、stunnel プロセスが予期せず終了した場合、ウォッチドッグプロセスにより再開されます。