As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia de dados em trânsito
O Amazon EFS oferece suporte à criptografia de dados em trânsito com o Transport Layer Security (TLS). Quando a criptografia de dados em trânsito é declarada como uma opção de montagem para seu sistema de arquivos EFS, o Amazon EFS estabelece uma conexão TLS segura com seu sistema de arquivos EFS ao montar seu sistema de arquivos. Todo o tráfego NFS é roteado por meio dessa conexão criptografada.
Como funciona a criptografia em trânsito
Recomendamos usar o auxiliar de montagem do EFS para montar seu sistema de arquivos porque ele simplifica o processo de montagem em comparação com a montagem com o NFS mount. O auxiliar de montagem do EFS gerencia o processo usando efs-proxy (para efs-utils versão 2.0.0 e posterior) ou stunnel (para versões anteriores do efs-utils) para estabelecer uma conexão TLS segura com seu sistema de arquivos EFS.
Se você não usa o assistente de montagem, ainda pode ativar a criptografia de dados em trânsito. A seguir estão as etapas para fazer isso.
Para habilitar a criptografia de dados em trânsito sem usar o auxiliar de montagem
-
Faça download e instale o
stunnele anote a porta em que o aplicativo está recebendo. Para obter mais informações, consulte Como atualizar o stunnel. -
Execute
stunnelpara se conectar ao seu sistema de arquivos EFS na porta 2049 usando TLS. -
Usando o cliente NFS, monte
localhost:, em queportport
Como a criptografia de dados em trânsito é configurada por conexão, cada montagem configurada tem um processo de stunnel dedicado em execução na instância. Por padrão, o processo stunnel usado pelo auxiliar de montagem escuta em uma porta local entre 20049 e 20449 e se conecta ao Amazon EFS na porta 2049.
nota
Por padrão, ao usar o auxiliar de montagem do EFS com TLS, ele impõe o uso do Online Certificate Status Protocol (OCSP) e da verificação do nome do host do certificado. O auxiliar de montagem do EFS usa o programa stunnel para sua funcionalidade TLS. Algumas versões do Linux não incluem uma versão do stunnel compatível com esses recursos TLS por padrão. Ao usar uma dessas versões do Linux, a montagem de um sistema de arquivos do EFS usando TLS apresenta falha.
Depois de instalar o amazon-efs-utils pacote, para atualizar a versão do stunnel do seu sistema, consulteComo atualizar o stunnel.
Para problemas com criptografia, consulte Solução de problemas de criptografia.
Ao usar a criptografia de dados em trânsito, a configuração do cliente NFS é alterada. Ao inspecionar os sistemas de arquivos montados ativamente, você verá um sistema montado para 127.0.0.1 ou localhost, como no exemplo a seguir.
$ mount | column -t 127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
Ao montar com o TLS e o auxiliar de montagem do EFS, você está reconfigurando seu cliente NFS para ser montado em uma porta local. O assistente de montagem inicia um processo de stunnel de cliente que escuta nessa porta local, e o stunnel abre uma conexão criptografada com o EFS usando TLS. O assistente de montagem do EFS é responsável por configurar e manter essa conexão criptografada e a configuração associada.
Para determinar qual ID do sistema de arquivos do Amazon EFS corresponde a qual ponto de montagem local, você pode usar o comando a seguir. Lembre-se de efs-mount-point substituir pelo caminho local em que você montou seu sistema de arquivos.
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
Quando você usa o auxiliar de montagem do EFS para criptografia de dados em trânsito, ele também cria um processo chamadoamazon-efs-mount-watchdog. Esse processo garante que o processo de tunnel de cada montagem esteja em execução e interrompe o stunnel quando o sistema de arquivos EFS é desmontado. Se, por algum motivo, um processo de stunnel for encerrado inesperadamente, o processo de watchdog o reiniciará.
