Amazon EFS 的加密最佳實務

在 中 AWS Config，實作 efs-encrypted-check AWS 受管規則。此規則會檢查 Amazon EFS 是否設定為使用 加密檔案資料 AWS KMS。

透過建立 Amazon CloudWatch 警報來對 Amazon EFS 檔案系統強制執行加密，該警報會監控 CloudTrail 日誌中是否存在 CreateFileSystem 事件，並在建立未加密的檔案系統時觸發警報。如需詳細資訊，請參閱逐步解說：在 Amazon EFS 檔案系統上強制執行靜態加密。

使用 EFS 掛載協助程式掛載檔案系統。這會在用戶端與 Amazon EFS 服務之間設定和維護 TLS 1.2 通道，並透過此加密通道路由所有網路檔案系統 (NFS) 流量。下列命令實作使用 TLS 進行傳輸中加密。

sudo mount -t efs  -o tls file-system-id:/ /mnt/efs

如需詳細資訊，請參閱使用 EFS 掛載協助程式掛載 EFS 檔案系統。

使用 AWS PrivateLink實作界面 VPC 端點，以在 VPCs和 Amazon EFS API 之間建立私有連線。透過 VPN 連線傳入和傳出端點的資料經過加密。如需詳細資訊，請參閱使用介面 VPC 端點存取 AWS 服務。

使用 IAM 身分型政策中的 elasticfilesystem:Encrypted 條件金鑰來防止使用者建立未加密的 EFS 檔案系統。如需詳細資訊，請參閱使用 IAM 強制建立加密檔案系統。

應使用資源型金鑰政策將用於 EFS 加密的 KMS 金鑰設定為最低權限存取。

在連接至 EFS 檔案系統時，使用 EFS 檔案系統政策中的 aws:SecureTransport 條件金鑰強制 NFS 用戶端使用 TLS。如需詳細資訊，請參閱使用 Amazon Elastic File System 加密檔案資料中傳輸中的資料加密 (AWS 白皮書）。 Amazon Elastic File System