演练:在 Amazon EFS 文件系统上实施静态加密 - Amazon Elastic File System
实施静态加密
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

演练:在 Amazon EFS 文件系统上实施静态加密

您可以在下文中找到有关如何使用 Amazon CloudWatch 实施静态加密的详细信息。Amazon CloudTrail. 本演练基于Amazon白皮书使用 Amazon EFS 加密的文件系统静态加密数据.

注意

本演练中介绍的强制创建静态加密的 Amazon EFS 文件系统的方法已弃用。强制创建静态加密的文件系统的首选方法是使用elasticfilesystem:Encrypted输入条件键Amazon Identity and Access Management基于身份的策略。有关更多信息,请参阅 强制创建加密文件系统。您可以使用此演练创建 CloudWatch 警报,以验证您的 IAM 策略是否阻止创建未加密的文件系统。

实施静态加密

您的组织可能要求静态加密符合特定分类条件的所有数据,或者静态加密与特定应用程序、工作负载或环境关联的所有数据。您可以使用侦探性控制为 Amazon EFS 文件系统实施静态数据加密策略。这些控制检测创建的文件系统,并验证是否启用了静态加密。

如果检测到没有静态加密的文件系统,您可以通过多种方法进行响应。这些方法包括删除文件系统和挂载目标以及通知管理员。

如果要删除未静态加密的文件系统,但希望保留数据,请先创建新的静态加密的文件系统。然后,将数据复制到新的静态加密的文件系统。在复制数据后,您可以删除未静态加密的文件系统。

检测静态时未加密的文件系统

您可以创建 CloudWatch 警报监控 CloudTrail 日志中的CreateFileSystemevent. 然后,您可以触发警报,以便在创建未静态加密的文件系统时通知管理员。

创建指标筛选条件

要创建在创建未加密的 Amazon EFS 文件系统时触发的 CloudWatch 警报,请使用以下过程。

在开始之前,您必须创建了一个跟踪以将 CloudTrail 日志发送到 CloudWatch Logs 日志组。有关更多信息,请参阅 。将事件发送到 CloudWatch Logs中的Amazon CloudTrail用户指南.

创建指标筛选条件

  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,选择日志

  3. 在日志组列表中,选择为 CloudTrail 日志事件创建的日志组。

  4. 选择 Create Metric Filter

  5. 定义日志指标筛选条件页上,选择筛选模式,然后键入以下内容:

    { ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) }

  6. 选择 Assign Metric (分配指标)

  7. 对于 Filter Name (筛选器名称),键入 UnencryptedFileSystemCreated

  8. 对于 Metric Namespace (指标命名空间),键入 CloudTrailMetrics

  9. 对于 Metric Name(指标名称),键入 UnencryptedFileSystemCreatedEventCount

  10. 选择 Show advanced metric settings

  11. 对于 Metric Value (指标值),键入 1

  12. 选择 Create Filter

创建警报

在创建指标筛选条件后,请使用以下过程创建一个警报。

创建警报

  1. Log_Group_Name 页面的筛选条件上,在 UnencryptedFileSystemCreated 筛选条件名称旁边选择创建警报

  2. 创建警报页上,设置以下参数:

    • 对于 Name (名称),键入 Unencrypted File System Created

    • 对于每当,请执行以下操作:

      • 设置为 > = 1

      • 对于: 设置为 1 个连续时间段。

    • 对于将缺失的数据作为以下内容处理,请选择好 (未超出阈值)

    • 对于操作,请执行以下操作:

      • 对于每当此警报,请选择状态为“警报”

      • 对于发送通知到,选择 NotifyMe,选择新建列表,然后为该列表键入唯一的主题名称。

      • 对于电子邮件列表,请键入要将通知发送到的电子邮件地址。将会通过该地址接收一封电子邮件,以确认创建了该警报。

    • 对于警报预览,请执行以下操作:

      • 对于周期,请选择 1 分钟

      • 对于统计数据,请选择标准总计

  3. 选择 Create Alarm(创建告警)

测试创建未加密的文件系统的警报

您可以创建未静态加密的文件系统以测试警报,如下所示。

创建未静态加密的文件系统以测试警报

  1. 从打开 Amazon EFS 控制台https://console.amazonaws.cn/efs.

  2. 选择创建文件系统

  3. VPC 列表中,选择您的默认 VPC。

  4. 选择所有可用区。确保选择了默认子网、自动 IP 地址和默认安全组。这些是您的挂载目标。

  5. 选择 Next Step

  6. 命名您的文件系统,并取消选中启用加密以创建未加密的文件系统。

  7. 选择 Next Step

  8. 选择创建文件系统

您的跟踪将记录CreateFileSystem操作,并将事件传送到 CloudWatch Logs 日志组。该事件会触发您的指标警报,而 CloudWatch Logs 会向您发送有关相应更改的通知。