この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、菊池です。
AWS Summit 2018 San Francisco にあわせて、キーノートで紹介されたもの以外にもたくさんの新機能が発表されています。
その中の1つ、Amazon EFS でサポートされた通信経路での TLS暗号化 を紹介します。
- Amazon EFS Now Supports Encryption of Data in Transit
- New – Encryption of Data in Transit for Amazon EFS
通信データのTLS暗号化
今回のアップデートにより、EFSとの通信経路上のデータ暗号化に対応しました。すでに、EFSに保存されるデータの暗号化には対応してますので、これにより転送中データと保存するデータの両方で、暗号化が可能になります。早速試してみましょう。
まずは、事前にEFSのファイルシステムを作成しておきます。アイルランドリージョンで作成しました。
[Amazon EC2 mount instructions]のリンクを選択すると、接続するためのユーティリティインストール、マウントコマンドが表示されます。
ファイルシステムに設定するSecurity Groupでは、TLSを使う場合にはTCP:2049を許可します。
Amazon Linux
Amazon Linux(ami-3bfab942で確認)の場合まずは、amazon-efs-utilsをインストールします。
$ sudo yum install -y amazon-efs-utils続いて、マウントポイントを作成してマウントします。
$ sudo mkdir /data
$ sudo mount -t efs fs-xxxxxxxx -o tls /dataマウントできました。これで、TLSを使った通信が可能になっています。
$ df -h
ファイルシス サイズ 使用 残り 使用% マウント位置
devtmpfs 488M 60K 488M 1% /dev
tmpfs 497M 0 497M 0% /dev/shm
/dev/xvda1 7.8G 1.1G 6.7G 14% /
127.0.0.1:/ 8.0E 0 8.0E 0% /dataCentOS7
CentOS7(ami-1caef165)でも試してみました。この場合は、nfs-utilsが必要ですが、今回利用したAMIではすでにインストール済みでした。未インストールの場合は下記のようにインストールしましょう。
$ sudo yum install -y nfs-utils続いて、マウントポイントを作成してマウントします。
$ sudo mkdir /data
$ sudo mount -t nfs4 -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2 fs-xxxxxxxx.efs.eu-west-1.amazonaws.com:/ /dataマウントできました。
$ df -h
ファイルシス サイズ 使用 残り 使用% マウント位置
/dev/xvda1 8.0G 906M 7.2G 12% /
devtmpfs 476M 0 476M 0% /dev
tmpfs 496M 0 496M 0% /dev/shm
tmpfs 496M 13M 483M 3% /run
tmpfs 496M 0 496M 0% /sys/fs/cgroup
tmpfs 100M 0 100M 0% /run/user/1000
fs-xxxxxxxx.efs.eu-west-1.amazonaws.com:/ 8.0E 0 8.0E 0% /data最後に
以上です。
通信経路上でのデータ暗号化に対応しましたので、より安全にEFSを利用できるようになりました。もう、いつでも東京リージョンにきてくれていいんですよw
3
