[新機能] Amazon EFS が通信経路での TLS 暗号化をサポートしました

88件のシェア(ちょっぴり話題の記事)

こんにちは、菊池です。

AWS Summit 2018 San Francisco にあわせて、キーノートで紹介されたもの以外にもたくさんの新機能が発表されています。

その中の1つ、Amazon EFS でサポートされた通信経路での TLS暗号化 を紹介します。

通信データのTLS暗号化

今回のアップデートにより、EFSとの通信経路上のデータ暗号化に対応しました。すでに、EFSに保存されるデータの暗号化には対応してますので、これにより転送中データと保存するデータの両方で、暗号化が可能になります。早速試してみましょう。

まずは、事前にEFSのファイルシステムを作成しておきます。アイルランドリージョンで作成しました。

[Amazon EC2 mount instructions]のリンクを選択すると、接続するためのユーティリティインストール、マウントコマンドが表示されます。

ファイルシステムに設定するSecurity Groupでは、TLSを使う場合にはTCP:2049を許可します。

Amazon Linux

Amazon Linux(ami-3bfab942で確認)の場合まずは、amazon-efs-utilsをインストールします。

$ sudo yum install -y amazon-efs-utils

続いて、マウントポイントを作成してマウントします。

$ sudo mkdir /data
$ sudo mount -t efs fs-xxxxxxxx -o tls /data

マウントできました。これで、TLSを使った通信が可能になっています。

$ df -h
ファイルシス   サイズ  使用  残り 使用% マウント位置
devtmpfs         488M   60K  488M    1% /dev
tmpfs            497M     0  497M    0% /dev/shm
/dev/xvda1       7.8G  1.1G  6.7G   14% /
127.0.0.1:/      8.0E     0  8.0E    0% /data

CentOS7

CentOS7(ami-1caef165)でも試してみました。この場合は、nfs-utilsが必要ですが、今回利用したAMIではすでにインストール済みでした。未インストールの場合は下記のようにインストールしましょう。

$ sudo yum install -y nfs-utils

続いて、マウントポイントを作成してマウントします。

$ sudo mkdir /data
$ sudo mount -t nfs4 -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2 fs-xxxxxxxx.efs.eu-west-1.amazonaws.com:/ /data

マウントできました。

$ df -h
ファイルシス                              サイズ  使用  残り 使用% マウント位置
/dev/xvda1                                  8.0G  906M  7.2G   12% /
devtmpfs                                    476M     0  476M    0% /dev
tmpfs                                       496M     0  496M    0% /dev/shm
tmpfs                                       496M   13M  483M    3% /run
tmpfs                                       496M     0  496M    0% /sys/fs/cgroup
tmpfs                                       100M     0  100M    0% /run/user/1000
fs-xxxxxxxx.efs.eu-west-1.amazonaws.com:/   8.0E     0  8.0E    0% /data

最後に

以上です。

通信経路上でのデータ暗号化に対応しましたので、より安全にEFSを利用できるようになりました。もう、いつでも東京リージョンにきてくれていいんですよw