本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon EFS 中的数据保护
<a name="data-protection"></a>

[责任 AWS 共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)分适用于 Amazon EFS 中的数据保护。如本模型所述 AWS ，负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息，请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。

出于数据保护目的，我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息，请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅《美国联邦信息处理标准（FIPS）第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。

强烈建议您切勿将机密信息或敏感信息（如您客户的电子邮件地址）放入标签或自由格式文本字段（如**名称**字段）。这包括您 AWS 服务 使用控制台、API 或与 Amazon EFS 或其他 AWS CLI机构合作时 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

**Topics**
+ [Amazon EFS 中的数据加密](encryption.md)
+ [互联网络隐私](internetwork-privacy.md)

# Amazon EFS 中的数据加密
<a name="encryption"></a>

Amazon EFS 提供全面的加密功能来保护静态数据和传输中数据。
+ **静态加密** - 加密存储在文件系统中的数据。
+ **传输中加密** - 加密在客户端和文件系统之间传输的数据。

如果您组织的公司或监管策略要求加密数据和元数据，建议您创建一个静态加密的文件系统，并通过加密传输中数据来挂载文件系统。



**Topics**
+ [加密静态数据](encryption-at-rest.md)
+ [加密传输中数据](encryption-in-transit.md)
+ [使用 Amazon EFS 的 AWS KMS 密钥](EFSKMS.md)
+ [排除加密故障](troubleshooting-efs-encryption.md)

# 加密静态数据
<a name="encryption-at-rest"></a>

静态加密可对 EFS 文件系统中存储的数据进行加密。这可以帮助您满足合规性要求并确保敏感数据免遭未经授权的访问。您的组织可能要求加密符合特定分类条件的所有数据，或者加密与特定应用程序、工作负载或环境关联的所有数据。

**注意**  
 AWS 密钥管理基础设施使用经联邦信息处理标准 (FIPS) 140-3 批准的加密算法。该基础设施符合美国国家标准与技术研究院（NIST）800-57 建议。

使用 Amazon EFS 控制台创建文件系统时，静态加密默认处于启用状态。使用 AWS CLI、API 或 SDKs 创建文件系统时，必须明确启用加密。

创建 EFS 文件系统后，将无法更改其加密设置。这意味着您无法修改未加密的文件系统以使其加密。相反，您需要通过[复制文件系统](efs-replication.md)，将数据从未加密的文件系统复制到新的加密文件系统。有关更多信息，请参阅[如何为现有 EFS 文件系统启用静态加密？](https://repost.aws/knowledge-center/efs-turn-on-encryption-at-rest)

## 静态加密的工作方式
<a name="howencrypt"></a>

在加密文件系统中，默认情况下，数据和元数据在写入存储之前会进行加密，并在读取时自动解密。这些过程是 Amazon EFS 以透明方式处理的，因此，您无需修改您的应用程序。

Amazon EFS AWS KMS 用于密钥管理，如下所示：
+ **文件数据加密** - 使用您指定的 KMS 密钥对文件内容进行加密。您可以指定：
  +  AWS 拥有的密钥 适用于 Amazon EFS (`aws/elasticfilesystem`) 的 “默认” 选项，不收取额外费用。
  + 您创建和管理的客户托管密钥 - 提供额外的控制和审计功能。
+ **元数据加密** - 文件名、目录名和目录内容是使用 Amazon EFS 在内部管理的密钥加密的。

### 加密过程
<a name="encryption-atrest-process"></a>

在创建文件系统或将某个文件系统复制到同一账户下的另一个文件系统时，Amazon EFS 使用[转发访问会话（FAS）](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)，通过调用者凭证进行 KMS 调用。在 CloudTrail 日志中，`kms:CreateGrant`调用似乎是由创建文件系统或复制的相同用户身份进行的。您可以 CloudTrail 通过查找带有值的`invokedBy`字段来识别 Amazon EFS 服务调用`elasticfilesystem.amazonaws.com`。KMS 密钥上的资源策略必须支持 FAS 执行 `CreateGrant` 操作以发起调用。

**重要**  
您可以管理对授权的控制权，并且可以随时撤销授权。撤销授权后，Amazon EFS 将无法在后续操作中访问该 KMS 密钥。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的[停用和撤销授权](https://docs.aws.amazon.com/kms/latest/developerguide/grant-delete.html)。

使用客户托管的 KMS 密钥时，资源策略还必须支持 Amazon EFS 服务主体，并包括 `kms:ViaService` 条件来限制访问特定服务端点。例如：

```
"kms:ViaService":
    "elasticfilesystem.us-east-2.amazonaws.com"
```

Amazon EFS 使用行业标准 AES-256 加密算法来以静态方式加密数据和元数据。

有关适用于 Amazon EFS 的 KMS 密钥策略的更多信息，请参阅[使用 Amazon EFS 的 AWS KMS 密钥](EFSKMS.md)。

## 对新文件系统强制执行静态加密
<a name="enforce-encryption-at-rest"></a>

您可以在基于 AWS Identity and Access Management （IAM）身份的策略中使用 `elasticfilesystem:Encrypted` IAM 条件键，来在用户创建 EFS 文件系统时强制执行静态创建。有关使用此条件键的更多信息，请参阅[示例：强制创建加密文件系统](security_iam_id-based-policy-examples.md#using-iam-to-enforce-encryption-at-rest)。

您还可以在内部定义服务控制策略 (SCPs)， AWS Organizations 对组织 AWS 账户 中的所有人强制执行 Amazon EFS 加密。有关中服务控制策略的更多信息 AWS Organizations，请参阅《*AWS Organizations 用户指南》*中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp)。

# 加密传输中数据
<a name="encryption-in-transit"></a>

Amazon EFS 支持使用传输层安全性协议（TLS）对传输中数据进行加密。在将传输中数据加密声明为 EFS 文件系统的挂载选项时，Amazon EFS 会在挂载文件系统时与您的 EFS 文件系统建立安全的 TLS 连接。所有 NFS 流量都通过此加密连接进行路由。

## 传输中加密的工作方式
<a name="how-encrypt-transit"></a>

我们建议使用 EFS 挂载帮助程序来挂载您的文件系统，因为与使用 NFS `mount` 挂载相比，它简化了挂载过程。EFS 挂载帮助程序通过使用 efs-proxy（适用于 efs-utils 版本 2.0.0 及更高版本）或 stunnel（适用于 efs-utils 的早期版本）来管理该进程，从而与 EFS 文件系统建立安全的 TLS 连接。

如果未使用挂载帮助程序，您仍然可以启用传输中的数据加密。请按以下步骤操作。

**在不使用挂载帮助程序的情况下对传输中数据进行加密**

1. 下载并安装 `stunnel`，并记下该应用程序侦听的端口。有关更多信息，请参阅 [升级 `stunnel`](upgrading-stunnel.md)。

1. 运行 `stunnel` 以使用 TLS 通过端口 2049 连接到您的 EFS 文件系统。

1. 使用 NFS 客户端挂载 `localhost:port`，其中 `port` 是在第一步中记下的端口。

由于传输中的数据加密是根据每个连接配置的，因此，每个配置的挂载在实例上运行专用的 `stunnel` 进程。默认情况下，挂载帮助程序使用的 stunnel 进程会侦听 20049 和 20449 之间的本地端口，并通过端口 2049 连接到 Amazon EFS。

**注意**  
默认情况下，在将 EFS 挂载帮助程序与 TLS 一起使用时，它会强制使用在线证书状态协议（OCSP）和证书主机名检查。EFS 挂载帮助程序使用 stunnel 程序提供 TLS 功能。某些版本的 Linux 不包含默认支持这些 TLS 功能的 stunnel 版本。在使用这些 Linux 版本之一时，使用 TLS 挂载 EFS 文件系统将失败。  
安装 amazon-efs-utils软件包后，要升级系统的 stunnel 版本，请参阅[升级 `stunnel`](upgrading-stunnel.md)。  
 有关加密问题，请参阅[排除加密故障](troubleshooting-efs-encryption.md)。

在使用传输中的数据加密时，将更改您的 NFS 客户端设置。在检查您主动挂载的文件系统时，将会看到一个文件系统挂载到 127.0.0.1 或 `localhost`，如以下示例中所示。

```
$ mount | column -t
127.0.0.1:/  on  /home/ec2-user/efs        type  nfs4         (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)
```

在使用 TLS 和 EFS 挂载帮助程序进行挂载时，将重新配置 NFS 客户端以挂载到本地端口。EFS 挂载帮助程序启动一个客户端 `stunnel` 进程以侦听该本地端口，并且 `stunnel` 使用 TLS 打开到 EFS 文件系统的加密连接。EFS 挂载帮助程序负责设置和维护该加密连接和关联的配置。

要确定哪个 Amazon EFS 文件系统 ID 对应于哪个本地挂载点，您可以使用以下命令。请记住*efs-mount-point*替换为挂载文件系统的本地路径。

```
grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1
```

在将 EFS 挂载帮助程序用于传输中数据加密时，它还会创建一个名为 `amazon-efs-mount-watchdog` 的进程。该进程可确保每个挂载的 stunnel 进程正在运行，并在卸载 EFS 文件系统后停止 stunnel。如果 stunnel 进程由于某种原因意外终止，watchdog 进程将重新启动该进程。

# 使用 Amazon EFS 的 AWS KMS 密钥
<a name="EFSKMS"></a>

Amazon EFS 与 AWS Key Management Service (AWS KMS) 集成，用于密钥管理。Amazon EFS 使用客户托管密钥通过以下方法加密您的文件系统：
+ **静态加密元数据** – Amazon EFS 使用适用于 Amazon EF 的 AWS 托管式密钥 `aws/elasticfilesystem` 来加密和解密文件系统元数据（即，文件名、目录名称和目录内容）。
+ **静态加密文件数据** – 您选择用于加密和解密文件数据（即，文件内容）的客户托管文件。您可以启用、禁用或撤销对此客户托管密钥的授权。此客户托管密钥可以是以下两种类型之一：
  + **AWS 托管式密钥 适用于 Amazon EFS** — 这是默认的客户托管密钥`aws/elasticfilesystem`。您无需为创建和存储客户托管密钥支付费用，但需要支付使用费用。要了解更多信息，请参阅 [AWS Key Management Service 定价](https://aws.amazon.com/kms/pricing/)。
  + **客户托管式密钥** – 这是使用最灵活的 KMS 密钥，因为您可以配置其密钥策略以及为多个用户或服务提供授权。有关创建客户托管密钥的更多信息，请参阅《*AWS Key Management Service 开发人员指南》中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。*

    如果将客户托管式密钥用于数据加密和解密，您可以启用密钥轮换。启用密钥轮换后，每年 AWS KMS 自动轮换密钥一次。此外，对于客户托管式密钥，您还可以随时选择何时禁用、重新启用、删除或撤销对您的客管理式密钥的访问权限。有关更多信息，请参阅 [使用 Amazon EFS 的 AWS KMS 密钥](#EFSKMS)。

**重要**  
Amazon EFS 仅接受对称的客户托管式密钥。您不能在 Amazon EFS 中使用非对称的客户托管式密钥。

静态数据加密和解密是透明处理的。但是，Amazon EFS IDs 特有的 AWS 账户会出现在与 AWS KMS 操作相关的 AWS CloudTrail 日志中。有关更多信息，请参阅 [文件系统的 Amazon EFS 日志 encrypted-at-rest文件条目](logging-using-cloudtrail.md#efs-encryption-cloudtrail)。

## Amazon EFS 的密钥政策 AWS KMS
<a name="EFSKMSPolicy"></a>

密钥策略是控制对客户托管式密钥的访问的主要方式。有关密钥策略的更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的 [AWS KMS中的密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。以下列表描述了 Amazon EFS 对静态加密文件系统所需或以其他方式支持的所有 AWS KMS相关权限：
+ **kms:Encrypt** –（可选）将明文加密为密文。该权限包含在默认密钥策略中。
+ **kms:Decrypt** –（必需）解密密文。密文是以前加密的明文。该权限包含在默认密钥策略中。
+ **kms: ReEncrypt** —（可选）使用新的客户托管密钥加密服务器端的数据，而不会在客户端暴露数据的纯文本。将先解密数据，然后重新加密。该权限包含在默认密钥策略中。
+ **kms: GenerateDataKeyWithoutPlaintext** —（必填）返回使用客户托管密钥加密的数据加密密钥。此权限包含在 k **ms: GenerateDataKey \$1** 下的默认密钥策略中。
+ **km CreateGrant s:** —（必填）向密钥添加授权，以指定谁可以在什么条件下使用该密钥。授权是密钥政策的替代权限机制。有关授权的更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的 [AWS KMS中的授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)。该权限包含在默认密钥策略中。
+ **kms: DescribeKey** —（必填）提供有关指定客户托管密钥的详细信息。该权限包含在默认密钥策略中。
+ **km ListAliases s:** —（可选）列出账户中的所有密钥别名。使用控制台创建加密的文件系统时，该权限将填充**选择 KMS 密钥**列表。我们建议您使用该权限以提供最佳的用户体验。该权限包含在默认密钥策略中。

### AWS 托管式密钥 适用于 Amazon EFS KMS 政策
<a name="efs-aws-managed-key-policy"></a>

适用于 Amazon EFS AWS 托管式密钥 的 KMS 策略 JS `aws/elasticfilesystem` ON 如下所示：

```
{
    "Version": "2012-10-17",		 	 	 
    "Id": "auto-elasticfilesystem-1",
    "Statement": [
        {
            "Sid": "Allow access to EFS for all principals in the account that are authorized to use EFS",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "elasticfilesystem.us-east-2.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "Allow direct access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        }
    ]
}
```

## 密钥状态及其影响
<a name="key-states-effects"></a>

KMS 密钥的状态直接影响到对加密文件系统的访问：

已启用  
正常操作 - 对文件系统具有完全读取和写入权限

已禁用  
文件系统在短时间后变得无法访问。可以重新启用。

待删除  
文件系统变得无法访问。在等待期间可以取消删除。

已删除  
文件系统永久无法访问。此操作无法撤消。

**警告**  
如果您禁用或删除用于文件系统的 KMS 密钥，或者撤销 Amazon EFS 对该密钥的访问权限，您的文件系统将变得无法访问。如果您没有备份，这可能会导致数据丢失。在更改加密密钥之前，请务必确保已创建正确的备份过程。

# 排除加密故障
<a name="troubleshooting-efs-encryption"></a>

**Topics**
+ [具有传输中数据加密的挂载失败](#mounting-tls-fails)
+ [具有传输中数据加密的挂载中断](#mounting-tls-interrupt)
+ [Encrypted-at-rest 无法创建文件系统](#unable-to-encrypt)
+ [无法使用的加密文件系统](#unusable-encrypt)

## 具有传输中数据加密的挂载失败
<a name="mounting-tls-fails"></a>

默认情况下，当您使用带有传输层安全性协议（TLS）的 Amazon EFS 挂载帮助程序时，它会强制执行主机名检查。某些系统不支持此功能，例如使用 Red Hat Enterprise Linux 或 CentOS 时。在这些情况下，挂载使用 TLS 的 EFS 文件系统会失败。

**要采取的操作**  
 我们建议您升级客户端上的 stunnel 版本以支持主机名检查。有关更多信息，请参阅 [升级 `stunnel`](upgrading-stunnel.md)。

## 具有传输中数据加密的挂载中断
<a name="mounting-tls-interrupt"></a>

在极少数情况下，客户端事件可能会导致到您的 Amazon EFS 文件系统的加密连接挂起或中断。

**要采取的操作**  
如果到使用传输中数据加密的 Amazon EFS 文件系统的连接中断，请执行以下步骤：

1. 确保正在客户端上运行 stunnel 服务。

1. 确认正在客户端上运行监控程序应用程序 `amazon-efs-mount-watchdog`。您可以使用以下命令确定是否正在运行该应用程序：

   ```
   ps aux | grep [a]mazon-efs-mount-watchdog
   ```

1. 检查您的支持日志。有关更多信息，请参阅 [获取支持日志](mount-helper-logs.md)。

1. （可选）您可以启用 stunnel 日志以及检查这些日志中的信息。您可以在 `/etc/amazon/efs/efs-utils.conf` 中更改日志配置以启用 stunnel 日志。但是，这样做需要卸载文件系统，然后使用挂载帮助程序重新挂载以使更改生效。
**重要**  
启用 stunnel 日志可能会用完您的文件系统上的宝贵空间量。

如果中断仍在继续，请联系 Su AWS pport。

## Encrypted-at-rest 无法创建文件系统
<a name="unable-to-encrypt"></a>

您已尝试创建新的 encrypted-at-rest文件系统。但是，您会收到一条错误消息，提示该消息 AWS KMS 不可用。

**要采取的操作**  
在极少数情况下，可能会发生此错误，这种情况在您中暂时 AWS KMS 不可用 AWS 区域。如果发生这种情况，请等待，直到 AWS KMS 恢复到完全可用状态，然后重试创建文件系统。

## 无法使用的加密文件系统
<a name="unusable-encrypt"></a>

加密的文件系统持续返回 NFS 服务器错误。当 EFS 由于以下原因之一无法从中 AWS KMS 检索您的主密钥时，可能会发生这些错误：
+ 禁用了密钥。
+ 删除了密钥。
+ 撤销了 Amazon EFS 使用密钥的权限。
+ AWS KMS 暂时不可用。

**要采取的操作**  
首先，确认 AWS KMS 密钥已启用。为此，您可以在控制台中查看这些密钥。有关更多信息，请参阅《AWS Key Management Service 开发人员指南**》中的[查看密钥](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html)。

如果未启用密钥，请将其启用。有关更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的[启用和禁用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html)。

如果密钥处于待删除状态，该状态将禁用密钥。您可以取消删除，然后重新启用密钥。有关更多信息，请参阅《AWS Key Management Service 开发人员指南**》中的[计划和取消密钥删除](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion)。

如果密钥已启用，但仍然遇到问题，或者在重新启用密钥时遇到问题，请联系 Su AWS pport。

# 互联网络隐私
<a name="internetwork-privacy"></a>

本主题介绍 Amazon EFS 如何保护从服务到其他位置的连接。

## 服务与本地客户端和应用之间的流量
<a name="on-prem-traffic-apps"></a>

您的私有网络和以下两种连接方式可供选择 AWS：
+  一个 AWS Site-to-Site VPN 连接。有关更多信息，请参阅[什么是 AWS Site-to-Site VPN？](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 
+  一个 Direct Connect 连接。有关更多信息，请参阅[什么是 Direct Connect？](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 

 通过网络访问 Amazon EFS 是通过 AWS 发布进行的 APIs。客户端必须支持传输层 1.2 或更高版本。我们建议使用 TLS 1.3 或更高版本。客户端还必须支持具有完全向前保密（PFS）的密码套件，例如 Ephemeral Diffie-Hellman（DHE）或 Elliptic Curve Diffie-Hellman Ephemeral（ECDHE）。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。此外，必须使用与 IAM 主体关联的访问密钥 ID 和秘密访问密钥来对请求进行签名，也可以使用 [AWS Security Token Service （AWS STS）](https://docs.aws.amazon.com/STS/latest/APIReference/)生成临时安全凭证来对请求进行签名。

## VPC 和 Amazon EFS API 之间的流量
<a name="vpc-endpoints"></a>

要在虚拟私有云（VPC）与 Amazon EFS API 之间建立专用连接，可以创建接口 VPC 端点。您可以使用此连接从 VPC 调用 Amazon EFS API，而无需通过互联网发送流量。端点提供与 Amazon EFS API 的安全连接，无需互联网网关、NAT 实例或虚拟专用网络（VPN）连接。有关更多信息，请参阅 [使用 Amazon EFS 中的接口 VPC 端点](efs-vpc-endpoints.md)。

## 同一区域内 AWS 资源之间的流量
<a name="intra-aws-resource-traffic"></a>

 Amazon EFS 的 Amazon Virtual Private Cloud（Amazon VPC）端点是 VPC 内的逻辑实体，仅支持连接到 Amazon EFS。Amazon VPC 会将请求路由到 Amazon EFS 并将响应路由回 VPC。有关更多信息，请参阅**《Amazon VPC 用户指南》的 [VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)。