As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia de dados em trânsito
O Amazon EFS comporta a criptografia de dados em trânsito com Transport Layer Security (TLS). Quando a criptografia de dados em trânsito é declarada como uma opção de montagem para o sistema de arquivos EFS, o Amazon EFS estabelece conexão de TLS segura com o sistema de arquivos EFS ao montar o sistema de arquivos. Todo o tráfego NFS é direcionado por meio dessa conexão criptografada.
Como funciona a criptografia em trânsito
Recomendamos usar o auxiliar de montagem do EFS para montar seu sistema de arquivos porque ele simplifica o processo de montagem em comparação com a montagem com o NFS mount. O auxiliar de montagem do EFS gerencia o processo usando efs-proxy (para efs-utils versão 2.0.0 e posterior) ou stunnel (para versões anteriores do efs-utils) para estabelecer conexão TLS segura com seu sistema de arquivos EFS.
Se você não usa o assistente de montagem, ainda pode ativar a criptografia de dados em trânsito. Veja a seguir as etapas para fazer isso.
Como habilitar a criptografia de dados em trânsito sem o auxiliar de montagem
-
Faça download e instale o
stunnele anote a porta em que o aplicativo está recebendo. Para obter mais informações, consulte Como atualizar o stunnel. -
Execute
stunnelpara conectar-se ao sistema de arquivos do EFS na porta 2049 usando TLS. -
Usando o cliente NFS, monte
localhost:, em queportport
Como a criptografia de dados em trânsito é configurada por conexão, cada montagem configurada tem um processo de stunnel dedicado em execução na instância. Por padrão, o processo de stunnel usado pelo auxiliar de montagem faz a recepção nas portas locais 20049 e 20449 e se conecta ao Amazon EFS na porta 2049.
nota
Por padrão, ao usar o auxiliar de montagem do EFS com TLS, ele impõe o uso do Online Certificate Status Protocol (OCSP) e da verificação do nome do host do certificado. O auxiliar de montagem do EFS usa o programa stunnel para sua funcionalidade de TLS. Algumas versões do Linux não incluem uma versão do stunnel compatível com esses recursos TLS por padrão. Ao usar uma dessas versões do Linux, a montagem de um sistema de arquivos do EFS usando TLS apresenta falha.
Depois que você instalar o pacote amazon-efs-utils, para atualizar a versão do stunnel do sistema, consulte Como atualizar o stunnel.
Para problemas com criptografia, consulte Solução de problemas de criptografia.
Ao usar a criptografia de dados em trânsito, a configuração do cliente NFS é alterada. Ao inspecionar os sistemas de arquivos montados ativamente, você verá um sistema montado para 127.0.0.1 ou localhost, como no exemplo a seguir.
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Ao montar com o TLS e o auxiliar de montagem do EFS, você reconfigura seu cliente do NFS para montagem em uma porta local. O assistente de montagem inicia um processo de stunnel de cliente que escuta nessa porta local, e o stunnel abre uma conexão criptografada com o EFS usando TLS. O assistente de montagem do EFS é responsável por configurar e manter essa conexão criptografada e a configuração associada.
Para determinar qual ID do sistema de arquivos do Amazon EFS corresponde a qual ponto de montagem local, você pode usar o comando a seguir. Lembre-se de substituir efs-mount-point pelo caminho local em que você montou o sistema de arquivos.
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Quando você usa o assistente de montagem do EFS para criptografia de dados em trânsito, ele também cria um processo chamado amazon-efs-mount-watchdog. Esse processo garante a execução do processo de stunnel de cada montagem e interrompe o stunnel quando o sistema de arquivos do EFS está desmontado. Se, por algum motivo, um processo de stunnel for encerrado inesperadamente, o processo de watchdog o reiniciará.
